comaddi.dll

Responder
merdasoft
Mensajes: 7
Registrado: 05 Feb 2008, 13:41

comaddi.dll

Mensaje por merdasoft » 05 Feb 2008, 13:45

Hola a todos, y ante todo gracias por este foro:

Desde hace un tiempo que cuando abro el explorer, mi antivirus detecta algo en system32/comaddi.dll

Lo he probado todo y no hay manera, agradeceria me ayudaran.

El antivirus no sabe decirme el nombre.



gracias

Avatar de Usuario
koga
Mensajes: 567
Registrado: 18 Jun 2005, 05:17
Ubicación: Chile

Hola

Mensaje por koga » 05 Feb 2008, 13:51

Pruebe descargando y ejecutando estas dos utilidades,

Elistara:
http://www.zonavirus.com/descargas/elistara.asp
Elitriip:
http://www.zonavirus.com/descargas/elitriip.asp


Una ves terminado los escaneos nos postea el contenido del archivo C:Infosat.txt para ver el resultado del proceso,

Saludos.
Dicen que si pones un cd de windows al reves te sale el Diablo, eso no es nada si lo pones al derecho se te instala Windows!!!

Avatar de Usuario
Claudia34
Mensajes: 1256
Registrado: 28 Feb 2007, 00:53

Mensaje por Claudia34 » 05 Feb 2008, 15:00

Y compleméntalo posteándonos el Log del HJT:

HJT: (HiJackThis)
¿Como utilizar el Hijackthis?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/tren ... ckthis.asp
Tras analizarlo, informaremos.
Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.
Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

¿Como arrancar en modo a prueba de fallos?

http://www.zonavirus.com/articulos/como ... fallos.asp

Opcional:


Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.
También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.


Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/
https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.
Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Saludos.
Reglas para estar aunque sea un 40% mas seguro en internet: "navegar con usuario limitado, tener 1 antispyware, 1 cortafuegos (por hardware), 1 antivirus,1 IDS y 1 HIPS en la pc actualizados, realizar un escaneo semanalmente con 7 antivirus online, usar site advisor, informarse diariamente de los temas de seguridad informatica, deshabilitar algunos servicios innecesarios de windows xp, analizar los archivos con virus total antes de abrirlos, utilizar algunas herramientas antimalware y antirootkit gratuitas para escaneo semanalmente, tener un poco de paranoia al navegar por internet (no confiar casi en nadie), utilizar un navegador que no tenga muchos agujeros de seguridad, hacer una copia de seguridad de los datos regularmente, tener actualizados todos los softwares en la pc ademas del S.O., no dar datos privados al navegar, utilizar una fuerte y compleja contraseña para todos los usuarios en la pc, cambiar las contraseñas cada poco tiempo, utilizar elipen, etc., etc." .

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 05 Feb 2008, 15:11

Aparte de lo indicado, como sea que de este malware aun no hemos recibido muestras ni recuerdo controlarlo, por si con lo indicado no se detectara nada, he buscado informacion y veo que viene a ser uno de los relacionados con el BZUB.NGP:

SPYWARE.BZUB.NGP, as well as other filenames:

11700727.SVD
48361802.SVD
ADVAPI3.DLL
67491885.DAT
CIADMI.DLL
ASFERRO.DLL
CARD.DLL
31831567.DLL
APCUP.DLL
CDOSY.DLL
41123298.DLL
AASC3.DLL
BROWSEW.DLL
COMRE.DLL
KBDU.DLL
BRINSST.DLL
BASESR.DLL
ATKCTR.DLL
CSRSR.DLL
COMADDI.DLL
BAT.DLL
CLICONF.DLL
AVWA.DLL
CERTMG.DLL
30308219.SVD
CSCDL.DLL
72806204.DLL
CTOSUSE.DLL
DESKMO.DLL
ADSLD.DLL
COMCA.DLL
COMUI.DLL
ACTXPRX.DLL
ATMLI.DLL
BTHSER.DLL
BTHSER.1
DDRAWE.1
D3D.1

Envianos dicho fichero c:\windows\system32/comaddi.dll y tras analizarlo, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.

Para ello recordar: viewtopic.php?f=2&t=45334


Igualmente con el log del HJT que se te pide en el post anterior, veremos si tienes algo mas, que todo es posible ... :wink: (dicho log postealo con un copiar y pegar en tu proximo post de respuesta a este Tema, gracias)

saludos

ms, 5-2-2008
Última edición por msc hotline sat el 07 Feb 2008, 09:11, editado 1 vez en total.

merdasoft
Mensajes: 7
Registrado: 05 Feb 2008, 13:41

listados solicitados

Mensaje por merdasoft » 07 Feb 2008, 08:55

Muchas gracias por la velocidad en contestar, aqui te remito los informes solicitados.





ELITRIIP

Nº Total de Directorios: 3093

Nº Total de Ficheros: 40184

Nº de Ficheros Analizados: 14215

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







ELISTAR







Thu Feb 07 08:21:33 2008

EliStartPage v15.60 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 07 08:21:39 2008

EliStartPage v15.60 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3101

Nº Total de Ficheros: 40230

Nº de Ficheros Analizados: 15110

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0











HijackThis



modo normal



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:41, on 2008-02-07

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~2\CA\ETRUST~1\dxserver\bin\dxadmind.exe

C:\Program Files\CA\SharedComponents\eTrust Common Services\Bin\ECSQDMN.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbguard.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\CA\SharedComponents\CA_LIC\LogWatNT.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\CA\SharedComponents\eTrust Common Services\Bin\ECSSAFMGR.exe

C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbserver.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {5277C894-5680-406D-A4BD-86EBEB644E70} - C:\WINDOWS\System32\comaddi.dll

O2 - BHO: (no name) - {9E748D43-67BE-6B0C-6B14-EA175E2D3740} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Internet Anonym - {00000000-0002-0002-0000-000000000000} - c:\archivos de programa\steganos internet anonym pro 6\siaiep.dll

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201683862593

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = oilinvest.es

O17 - HKLM\Software\..\Telephony: DomainName = oilinvest.es

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = oilinvest.es

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = oilinvest.es

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe

O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\Archivos de programa\CA\SharedComponents\CA_LIC\\lic98rmt.exe

O23 - Service: eTrust Directory Administration Daemon - master (dxadmind_master) - Computer Associates International, Inc. (CA) - C:\PROGRA~2\CA\ETRUST~1\dxserver\bin\dxadmind.exe

O23 - Service: eTrust Common Services Log Daemon (ECSLOGD) - Computer Associates International, Inc. - C:\Program Files\CA\SharedComponents\eTrust Common Services\Bin\ECSLOGD.exe

O23 - Service: eTrust Common Services Store-And-Forward Manager (ECSSAFMGR) - Computer Associates International, Inc. - C:\Program Files\CA\SharedComponents\eTrust Common Services\Bin\ECSSAFMGR.exe

O23 - Service: eTrust Common Services (Transport) (eCS_Transport) - Computer Associates International, Inc. - C:\Program Files\CA\SharedComponents\eTrust Common Services\Bin\ECSQDMN.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: eTFWService - Computer Associates International, Inc. - C:\Program Files\CA\SharedComponents\eTrust Common Services\Bin\eTFWService.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Archivos de programa\CA\SharedComponents\CA_LIC\LogWatNT.exe

O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Archivos de programa\UltraVNC\winvnc.exe (file missing)



--





HijackThis

pruba de errores





Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:50, on 2008-02-07

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Safe mode with network support



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {5277C894-5680-406D-A4BD-86EBEB644E70} - C:\WINDOWS\System32\comaddi.dll

O2 - BHO: (no name) - {9E748D43-67BE-6B0C-6B14-EA175E2D3740} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Internet Anonym - {00000000-0002-0002-0000-000000000000} - c:\archivos de programa\steganos internet anonym pro 6\siaiep.dll

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201683862593

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = oilinvest.es

O17 - HKLM\Software\..\Telephony: DomainName = oilinvest.es

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = oilinvest.es

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = oilinvest.es

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe

O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\Archivos de programa\CA\SharedComponents\CA_LIC\\lic98rmt.exe

O23 - Service: eTrust Directory Administration Daemon - master (dxadmind_master) - Computer Associates International, Inc. (CA) - C:\PROGRA~2\CA\ETRUST~1\dxserver\bin\dxadmind.exe

O23 - Service: eTrust Common Services Log Daemon (ECSLOGD) - Computer Associates International, Inc. - C:\Program Files\CA\SharedComponents\eTrust Common Services\Bin\ECSLOGD.exe

O23 - Service: eTrust Common Services Store-And-Forward Manager (ECSSAFMGR) - Computer Associates International, Inc. - C:\Program Files\CA\SharedComponents\eTrust Common Services\Bin\ECSSAFMGR.exe

O23 - Service: eTrust Common Services (Transport) (eCS_Transport) - Computer Associates International, Inc. - C:\Program Files\CA\SharedComponents\eTrust Common Services\Bin\ECSQDMN.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: eTFWService - Computer Associates International, Inc. - C:\Program Files\CA\SharedComponents\eTrust Common Services\Bin\eTFWService.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Archivos de programa\CA\SharedComponents\CA_LIC\LogWatNT.exe

O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Archivos de programa\UltraVNC\winvnc.exe (file missing)



--

End of file - 6297 bytes





Ahora envio el fichero comaddi





Muchisimas gracias

merdasoft
Mensajes: 7
Registrado: 05 Feb 2008, 13:41

deteccion

Mensaje por merdasoft » 07 Feb 2008, 09:26

Al intentar enviar el archivo comaddi, el antivurus del servidor me ha detectado esto:

Win32/Kvol!generic



:lol:



ruego me digais que hacer:





Gracias por vuestro interes.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 07 Feb 2008, 09:32

Se supone que en los logs del ELITRIIP no se detectaba nada, porque deberia haber dos logs, uno de accion directa y otro de exploracion, y solo nos has posteado el resumen, otra vez hazlo completo ...

Del log de HJT vemos que te faltan todos los parches del SP2 y posterioes. Es imprescindible que lances un windowsupdate y actualices !!!


Del fichero que esperamos recibir, C:\WINDOWS\system32\comaddi.dll , podemos adelantar lo siguiente:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.12.15.10 2007.12.14 Win-Trojan/Bho.84992.B
AntiVir 7.6.0.45 2007.12.14 TR/BHO.abo.9
Authentium 4.93.8 2007.12.13 -
Avast 4.7.1098.0 2007.12.13 -
AVG 7.5.0.503 2007.12.14 Generic9.AATD
BitDefender 7.2 2007.12.14 Trojan.Spy.Bzub.NGP
CAT-QuickHeal 9.00 2007.12.14 Trojan.BHO.abo
ClamAV 0.91.2 2007.12.14 Trojan.BHO-1129
DrWeb 4.44.0.09170 2007.12.14 Trojan.DownLoader.37561
eSafe 7.0.15.0 2007.12.13 -
eTrust-Vet 31.3.5375 2007.12.14 Win32/Kvol.I
Ewido 4.0 2007.12.14 -
FileAdvisor 1 2007.12.14 -
Fortinet 3.14.0.0 2007.12.14 -
F-Prot 4.4.2.54 2007.12.13 -
F-Secure 6.70.13030.0 2007.12.14 Trojan.Win32.BHO.abo
Ikarus T3.1.1.15 2007.12.14 Trojan-PWS.Win32.Lmir
Kaspersky 7.0.0.125 2007.12.14 Trojan.Win32.BHO.abo
McAfee 5185 2007.12.13 -
Microsoft 1.3109 2007.12.14 TrojanSpy:Win32/Bzub.GB.dll
NOD32v2 2723 2007.12.14 Win32/BHO.ABO
Norman 5.80.02 2007.12.13 W32/BHO.ATF
Panda 9.0.0.4 2007.12.14 Adware/AVSystemCare
Prevx1 V2 2007.12.14 Trojan.DoS.Win32.Opdos
Rising 20.22.41.00 2007.12.14 Trojan.Win32.BHO.abo
Sophos 4.24.0 2007.12.14 Troj/BHO-EE
Sunbelt 2.2.907.0 2007.12.14 -
Symantec 10 2007.12.14 Trojan Horse
TheHacker 6.2.9.159 2007.12.14 Trojan/BHO.abo
VBA32 3.12.2.5 2007.12.14 Trojan.Win32.BHO.abo
VirusBuster 4.3.26:9 2007.12.13 Trojan.BHO.OU
Webwasher-Gateway 6.0.1 2007.12.14 Trojan.BHO.abo.9
Information additionnelle
File size: 109824 bytes
MD5: 4a51d91c2f2c29582cff7b49d7b839ca
SHA1: 60f4128875fdbb867186cf4ccf60f9d5bd5d5eee
PEiD: -
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX


y el estudio del PREV sobre el mismo:

This dynamic link library has a file size of 109,824 bytes, it is called 79699081.DLL and is located in the %mai%\ folder.
This file is considered unsafe and is part of the malware group, Trojan.DoS.Win32.Opdos. It was first seen on Friday, Dec 14 2007. It has only been seen by one user in this section of the community. The file has only been seen in SPAIN.
79699081.DLL has been seen to perform the following behavior:
- The Process is packed and/or encrypted using a software packing process

Tan pronto como lo recibamos, implementaremos su control y eliminacion en nuestras utilidades, de lo cual infomaremos.

saludos

ms, 7-2-2008

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 07 Feb 2008, 09:37

Veo que mientras preparaba el post anterior ha indicado que tenía problemas en el envio del fichero, esto le pasa por no haberlo empaquetado con password como le deciamos:

Para ello recordar: viewtopic.php?f=2&t=45334

y para hacerlo desactive su antivirus o hagalo arrancando en modo segur0 para que el antivirus no esté en uso.

saludos

ms, 7-2-2008

merdasoft
Mensajes: 7
Registrado: 05 Feb 2008, 13:41

envio

Mensaje por merdasoft » 07 Feb 2008, 10:53

El problema es que no me deja comprimirlo, me sale como acceso denegado. no puedo ni copiarlo ni nada.

El antivirus que lo detecta es el del servidor de correo, no el de mi ordenador.



Ruego me disulpen si no me entero de mucho , pero es que con estos temas estoy muy pez.



Gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 07 Feb 2008, 10:56

Arranca en modo seguro, abres el WINRAR, y empaqueta dicho fichero con password VIRUS (en opciones avanzadas) y una vez lo tengas en .RAR, reinicias y lo podrás enviar sin problema.



saludos



ms, 7-2-2008

merdasoft
Mensajes: 7
Registrado: 05 Feb 2008, 13:41

Fichero enviado

Mensaje por merdasoft » 07 Feb 2008, 12:04

Ya he podido bajo las instrucciones enviar el fichero:



Gracias





Sobre el update de windows, la pagina de windows me da error diciendome que falta algo para poder actualizar. supongo que sera el biho qeu ha jodido algo:





Saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 07 Feb 2008, 12:25

Pues asi no estas en condiciones de seguridad mínimas...

Mira si REPARANDO el sistema te permite luego lanzar un windows update:
para REPARAR WINDOWS, msc escribió:
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate


saludos

ms, 7-2-2008

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 07 Feb 2008, 12:33

Y recibido el fichero, a primera vista ya el McAfee lo detecta como



McAfee : Downloader.gen.a





es un fichero escrito en delphi que descarga troyanos de otras webs cuando se abre el navegador (BHO)



Pasamos a monitorizarlo e implementaremos su control y eliminacion en el ELISTARA 15-61 de hoy, que estará disponible en esta web a partir de las 19 h para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 7-2-2008

merdasoft
Mensajes: 7
Registrado: 05 Feb 2008, 13:41

agradecido

Mensaje por merdasoft » 07 Feb 2008, 13:26

De verdad q hay poca gente tan profesional, muchas gracias por vuestra ayuda y ya os informare como me [b][i]h[/i][/b]a ido.





Gracias



Merdasoft

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 07 Feb 2008, 13:52

Procuramos serlo, gracias :wink:

saludos
ms, 7-2-2008

merdasoft
Mensajes: 7
Registrado: 05 Feb 2008, 13:41

duro de roer

Mensaje por merdasoft » 11 Feb 2008, 07:38

Buenos dias, hasta hoy no he podido realizar vuestra instrucciones:

He bajado el elistara y lo detecta, me dice que lo "matara" al reiniciar , pero sigue ahi. Os dejo el reporte del elistara.









Thu Feb 07 08:21:33 2008

EliStartPage v15.60 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 07 08:21:39 2008

EliStartPage v15.60 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3101

Nº Total de Ficheros: 40230

Nº de Ficheros Analizados: 15110

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Feb 11 06:53:35 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Mon Feb 11 06:54:25 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\COMADDI.DLL --> Acceso Denegado, DownLoader.Delf.DZS



Nº Total de Directorios: 3096

Nº Total de Ficheros: 40187

Nº de Ficheros Analizados: 15108

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



Mon Feb 11 07:07:42 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Mon Feb 11 07:07:59 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3096

Nº Total de Ficheros: 40187

Nº de Ficheros Analizados: 15107

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Feb 11 07:26:20 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Feb 11 07:26:50 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\COMADDI.DLL --> Acceso Denegado, DownLoader.Delf.DZS



Nº Total de Directorios: 2858

Nº Total de Ficheros: 34248

Nº de Ficheros Analizados: 10584

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.







Pues eso, que es durillo, gracias:

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 11 Feb 2008, 07:45

Bueno, prueba el ELISTARA arrancando en modo seguro, y si asi se resiste, procede como indicamos para el VUNDO 9, igual es primo hermano...





https://foros.zonavirus.com/informacion-sobre-vundo-9-control-y-eliminacion-vt22997.html





y cuentanos el resultado, gracias





saludos



ms, 11-2-2008

Responder

Volver a “Foro Virus - Cuentanos tu problema”