PROBLEMA IE "Internet Explorer" (SOLUCIONADO)

[kaninox]

Hola les cuento mi problema, navego con firefox, y bueno ni un problema, pero tengo la extension IEtab para probar las paginas que desarrollo y cuando [b][i]a[/i][/b]bro el Internet Explorer, o en el Firefox con IEtab pues se me [b][i]a[/i][/b]bre miles de paginas con algo de iframe.dll y demas cosas como casinos etc...



es bastante molesto, ya que me pega el pc hasta dejarlo sin memoria virtual, IE es uno por desgracia de los navegadores aun mas usados asi que debo probar mis webs hay aparte es bastante molesto el asuntillo, ya probe revisando la pagina de inicio, eliminado cokies temporales de ie etc... y nada...



asi que recurro a los master en esto haber si me sacan de apuros :D les dejo mi LOG.... y sorry por la extensa explicacion :P



Logfile of HijackThis v1.99.1

Scan saved at 5:12:48, on 05/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Servidor\mysql\bin\mysqld-nt.exe

C:\WINDOWS\system32\kuygl.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTB.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\temp1.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Apache Group\Apache\Apache.exe

C:\Archivos de programa\Apache Group\Apache\Apache.exe

C:\Archivos de programa\Macromedia\Dreamweaver MX\Dreamweaver.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Under Family\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.2.7.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: ADSTechnology module - {831CBAC0-8283-4653-9D81-FEB9F3F6E47C} - C:\Archivos de programa\ADSTechnology\ADSTechnology.dll

O2 - BHO: ActivationManager module - {86A44EF7-78FC-4e18-A564-B18F806F7F56} - C:\Archivos de programa\ActivationManager\ActivationManager.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [AHQInit] C:\Archivos de programa\Creative\SBLive\Program\AHQInit.exe

O4 - HKLM\..\Run: [AudioHQ] C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTB.EXE

O4 - HKLM\..\Run: [kuygl] C:\WINDOWS\system32\kuygl.exe

O4 - HKLM\..\RunServices: [ww] C:\WINDOWS\system32\ww.exe

O4 - HKLM\..\RunServices: [kuygl] C:\WINDOWS\system32\kuygl.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DUPEDATE] C:\DOCUME~1\UNDERF~1\DATOSD~1\FUNKSL~1\body blue.exe

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{6B5D223C-A2CA-4A94-B247-DE0A770242B1}: NameServer = 216.155.73.40 216.155.73.41

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: MySql - Unknown owner - C:/Servidor/mysql/bin/mysqld-nt.exe

O23 - Service: Print Spooler Service (oaeuau84y0i) - Unknown owner - C:\WINDOWS\system32\kuygl.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

[lucl]

Aunque te aconsejo esperes lo mire msc mira si te suena esta entrada



C:\WINDOWS\system32\kuygl.exe





no encuentro informacion al respecto, si no te suena si quieres subelo a virustotal y peganos el resultado que te den, saludos





http://www.virustotal.com

[kaninox]

la verdad por ello recurri a uds. tambien hay un body_blue.exe que la verdad lo desabilite desde el msconfig pero aun sigue hay partiendo lo mismo con ese tal kuygl.exe que la verdad me parece crea body_blue.exe bueno esperare a ver que me dice msc gracias...



voy a ver eso de virus total por tanto ;)

[lucl]

Si, espera lo de msc pues el es el experto en hijackthis y a ver que te dice virustotal y si quieres mira tambien el body_blue.exe

y nos comentas, saludos

[kaninox]

realice un analisis y me dio



https://www.virustotal.com/es//analisis/a34f501cf74784dc6b84a5cb191dd36e



el archivo me sale como una fotografia. pero no lo he tocado digo doble click y eso pero supongo alguien en mi familia lo habra hecho :/ ya que segun leo es un tipo estrella del msn supongo...



respecto al body_blue.exe entre a la carpeta donde esta...

funk slow two



y dentro hay varios programas .exe que ni idea, ni los he tocado, supongo se van creando, solos.



virus total me envio

https://www.virustotal.com/es//analisis/069a989d066f7f0fc6ed8000e8f37950



lo malo que se me olvido mencionar estoy sin antivirus :( ya que el nod que tenia caduco.

algun online qu eme salve para esto :/ espero sean lo que me causa conflicto con IE y no sean otros virus X)



saludos

[msc hotline sat]

Pues pruebe el actual ELISTARA, que controla muchas variantes de virus del MSN, incluso algunas no controladas aun por los antivirus, y nos informa del resultado.



Y tambien el ELITRIIP ya que algunas variantes de estos son del tipo SDBOT:





[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 5-2-2008





NOTA: Si no lo detectaran ninguna de las dos utilidades, mire de enviarnos los ficheros que crea dicho virus, para analizarlos y proceder en consecuencia:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



ms.

[msc hotline sat]

Y analizando el log del HJT vemos estos ficheros sospechosos:



C:\WINDOWS\system32\temp1.exe



[b][i]C:\WINDOWS\svchost.exe



C:\Archivos de programa\ADSTechnology\ADSTechnology.dll



C:\Archivos de programa\ActivationManager\ActivationManager.dll



C:\WINDOWS\system32\ww.exe



C:\DOCUME~1\UNDERF~1\DATOSD~1\FUNKSL~1\body blue.exe[/i][/b]



Aparte de lo indicado en post anteriores, envienos dichas muestras para analizar:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 5-2-2008

[kaninox]

mi anailisis con ambos aqui :



ya le envio al mail los virus detectados que me pide.





Tue Feb 05 15:34:35 2008

EliTriIP v4.33 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "KUYGL")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\kuygl.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SVCHOST.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\TEMP1.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\TEMP2.EXE --> Eliminado

C:\WINDOWS\ADOBER.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD



Tue Feb 05 15:36:18 2008

EliTriIP v4.33 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\autorun.inf --> Eliminado, Perlovga(inf)

C:\copy.exe --> Eliminado, Perlovga

C:\host.exe --> Eliminado, Perlovga(dr)

C:\WINDOWS\autorun.inf --> Eliminado, Perlovga(inf)

C:\WINDOWS\xcopy.exe --> Eliminado, Perlovga



Nº Total de Directorios: 6128

Nº Total de Ficheros: 59965

Nº de Ficheros Analizados: 14907

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5



Tue Feb 05 15:57:06 2008

EliStartPage v15.59 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "KUYGL")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\kuygl.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\WSCMGR.EXE --> Eliminado Dialupass

C:\ARCHIVOS DE PROGRAMA\ADSTECHNOLOGY\ADSTECHNOLOGY.DLL --> Eliminado AdWare.Agent.UJ(BHO)

Por favor, envienos una muestra del fichero

C:\Muestras\ACTIVATIONMANAGER.DLL.Muestra EliStartPage v15.59

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ACTIVATIONMANAGER\ACTIVATIONMANAGER.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "AudioHQ"="C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTB.EXE"

Eliminada Class, "{831CBAC0-8283-4653-9D81-FEB9F3F6E47C}" -> C:\Archivos de programa\ADSTechnology\ADSTechnology.dll

Eliminada Class, "{831CBAC3-8283-4653-9D81-FEB9F3F6E47C}" -> C:\Archivos de programa\ADSTechnology\ADSTechnology.dll

Eliminada Class, "{86A44EF7-78FC-4e18-A564-B18F806F7F56}" -> C:\Archivos de programa\ActivationManager\ActivationManager.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

Shellexecute=copy.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

Shellexecute=copy.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (F)

Shellexecute=copy.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (H)

Shellexecute=copy.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Feb 05 15:58:53 2008

EliStartPage v15.59 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Under Family\Datos de programa\funk slow two\QQQYDTAV.EXE --> Eliminado, Swizzor(lop)

C:\WINDOWS\pchealth\helpctr\DataColl\COLLECTEDDATA_1926.XML --> Eliminado, BlackStone(BHO)



Nº Total de Directorios: 6125

Nº Total de Ficheros: 56634

Nº de Ficheros Analizados: 15938

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Tue Feb 05 16:10:33 2008

EliStartPage v15.59 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 27

Nº Total de Ficheros: 556

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Feb 05 16:15:44 2008

EliStartPage v15.59 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 1626

Nº Total de Ficheros: 28570

Nº de Ficheros Analizados: 605

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Feb 05 16:16:56 2008

EliStartPage v15.59 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 18

Nº Total de Ficheros: 528

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Feb 05 16:17:01 2008

EliStartPage v15.59 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Feb 05 16:17:04 2008

EliStartPage v15.59 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 40

Nº Total de Ficheros: 257

Nº de Ficheros Analizados: 14

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Feb 05 16:18:43 2008

EliTriIP v4.33 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "KUYGL")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\kuygl.exe

a "virus@satinfo.es". Gracias.



Tue Feb 05 16:18:50 2008

EliTriIP v4.33 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\autorun.inf --> Eliminado, Perlovga(inf)

D:\copy.exe --> Eliminado, Perlovga

D:\host.exe --> Eliminado, Perlovga(dr)



Nº Total de Directorios: 27

Nº Total de Ficheros: 556

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Tue Feb 05 16:18:54 2008

EliTriIP v4.33 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\autorun.inf --> Eliminado, Perlovga(inf)

E:\copy.exe --> Eliminado, Perlovga

E:\host.exe --> Eliminado, Perlovga(dr)



Nº Total de Directorios: 1626

Nº Total de Ficheros: 28570

Nº de Ficheros Analizados: 595

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Tue Feb 05 16:19:45 2008

EliTriIP v4.33 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

F:\autorun.inf --> Eliminado, Perlovga(inf)

F:\copy.exe --> Eliminado, Perlovga

F:\host.exe --> Eliminado, Perlovga(dr)



Nº Total de Directorios: 18

Nº Total de Ficheros: 528

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Tue Feb 05 16:19:49 2008

EliTriIP v4.33 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Feb 05 16:19:52 2008

EliTriIP v4.33 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

H:\copy.exe --> Eliminado, Perlovga

H:\host.exe --> Eliminado, Perlovga(dr)

H:\autorun.inf --> Eliminado, Perlovga(inf)

H:\System Volume Information\_restore{126DF62B-6077-4C49-B706-29B2796B011B}\RP187\A0095568.inf --> Eliminado, Perlovga(inf)

H:\System Volume Information\_restore{126DF62B-6077-4C49-B706-29B2796B011B}\RP187\A0096599.inf --> Eliminado, Perlovga(inf)

H:\System Volume Information\_restore{126DF62B-6077-4C49-B706-29B2796B011B}\RP187\A0098695.inf --> Eliminado, Perlovga(inf)

H:\System Volume Information\_restore{126DF62B-6077-4C49-B706-29B2796B011B}\RP187\A0099695.inf --> Eliminado, Perlovga(inf)

H:\System Volume Information\_restore{126DF62B-6077-4C49-B706-29B2796B011B}\RP187\A0099971.inf --> Eliminado, Perlovga(inf)

H:\System Volume Information\_restore{126DF62B-6077-4C49-B706-29B2796B011B}\RP187\A0101971.inf --> Eliminado, Perlovga(inf)

H:\System Volume Information\_restore{126DF62B-6077-4C49-B706-29B2796B011B}\RP187\A0103971.inf --> Eliminado, Perlovga(inf)

H:\System Volume Information\_restore{126DF62B-6077-4C49-B706-29B2796B011B}\RP187\A0103984.inf --> Eliminado, Perlovga(inf)

H:\System Volume Information\_restore{126DF62B-6077-4C49-B706-29B2796B011B}\RP187\A0104028.inf --> Eliminado, Perlovga(inf)

H:\System Volume Information\_restore{126DF62B-6077-4C49-B706-29B2796B011B}\RP188\A0104039.inf --> Eliminado, Perlovga(inf)

H:\System Volume Information\_restore{126DF62B-6077-4C49-B706-29B2796B011B}\RP188\A0104061.exe --> Eliminado, Perlovga

H:\System Volume Information\_restore{126DF62B-6077-4C49-B706-29B2796B011B}\RP188\A0104062.exe --> Eliminado, Perlovga(dr)



Nº Total de Directorios: 40

Nº Total de Ficheros: 259

Nº de Ficheros Analizados: 16

Nº de Ficheros Infectados: 15

Nº de Ficheros Limpiados: 15

[kaninox]

Bueno pongo otro post ya que le digo que ahora trato de abrir una unidad "otra partición que no sea C: y me dice que falta el archivo copy.exe, si tiene alguna solución a eso también bienvenida sea"

[msc hotline sat]

Vamos por partes, para este Tema envianos las muestras indicadas en mi post anterior y tras analizarlas informaremos.


[quote="msc"]C:\WINDOWS\system32\temp1.exe



C:\WINDOWS\svchost.exe



C:\Archivos de programa\ADSTechnology\ADSTechnology.dll



C:\Archivos de programa\ActivationManager\ActivationManager.dll



C:\WINDOWS\system32\ww.exe



C:\DOCUME~1\UNDERF~1\DATOSD~1\FUNKSL~1\body blue.exe [/quote]

Una vez terminado este Tema podrá abrir otro donde comentarnos lo del COPY.EXE, que sin duda es un malware.



De momento vemos que tiene el CiD, y que posiblemente haya dejado SWIZZORS en alguno de los ficheros que le pedimos muestra para analizar, tras su recepcion los examinaremos, e informaremos



saludos



ms, 6-2-2008





NOTA: Ademas, vea lo que se le pide en el infosat:



Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\kuygl.exe





Por favor, envienos una muestra del fichero

C:\Muestras\ACTIVATIONMANAGER.DLL.Muestra EliStartPage v15.59





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



ms.

[msc hotline sat]

No hemos recibido los siguientes ficheros solicitados:



C:\WINDOWS\system32\temp1.exe



C:\WINDOWS\svchost.exe



C:\Archivos de programa\ADSTechnology\ADSTechnology.dll





Los otros han sido detectados como malwares y hemos pasado a implementarlos en la version de hoy del ELISTARA 15.60 que estaran disponibles en esta web a partir de las 19 h, para pruebas de evaluacion en el foro de zonavirus.



Si no encuentra los antes indicados, pueden estar ocultos... :



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



y mira de enviarlos, porque aunque detectemos y eliminemos claves y procesos de los ya recibidos, su tienes otros incordiando, como parece ser el caso... de poco va a servir



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 6-2-2008

[msc hotline sat]

A ver, los dos primeros no los busques, ya que despues de crear el log del HJT pasaste el ELITRIIP que ya los eliminó !


[quote]EliTriIP v4.33 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "KUYGL")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\kuygl.exe

a "virus@satinfo.es". Gracias.

[b][i]C:\WINDOWS\SVCHOST.EXE --> Eliminado [/i][/b]

[b][i]C:\WINDOWS\SYSTEM32\TEMP1.EXE --> Eliminado [/i][/b]

C:\WINDOWS\SYSTEM32\TEMP2.EXE --> Eliminado

C:\WINDOWS\ADOBER.EXE --> Eliminado



...[/quote]

y el otro tampoco !, pues con el ELISTARA ya fue eliminado posteriormente:


[quote]Tue Feb 05 15:57:06 2008

EliStartPage v15.59 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "KUYGL")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\kuygl.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\WSCMGR.EXE --> Eliminado Dialupass

[b][i]C:\ARCHIVOS DE PROGRAMA\ADSTECHNOLOGY\ADSTECHNOLOGY.DLL --> Eliminado AdWare.Agent.UJ(BHO)[/i][/b]

...[/quote]

Asi que solo quedará esta tarde probar la nueva version del ELISTARA 15.60 , y, tras reiniciar , postearnos el resultado e indicarnos si persiste alguna anomaliá...



saludos



ms, 6-2-2008

[kaninox]

bueno master le digo, pase el elistara y me pidio reiniciar y elimino el kuygl perfecto y otras entradas, bueno se supone elimino el ww.exe pero no veo que haya eliminado el body_blue.exe que le envie que segun el virus total aparece como virus eso si me fijo que no lo tengo como proceso ejecutandose asi que no se...

lo otro una vez sacado este troyano? me volvio a la normalidad el ingreso a las particiones o sea el problema de copy.exe quedo solucionado con esto, supongo que lo causaba esto mismo..

le informo si persiste alguna anomalia, ahora le pego el log...



y gracias como siempre master :)





[b]PD:[/b] como dije anteriormente donde tengo el body_blue es una carpeta llama fan fun algo.. dentro de ella hay varios .exe que desconosco, si quiere le envio la carpeta completa para analisis, ud me dice si es necesario, todo caso la oculte para que mi familia no meta mano :P



Thu Feb 07 04:19:06 2008

EliStartPage v15.60 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "KUYGL")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\kuygl.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KUYGL.EXE --> Trojan.Agent.EBW Renombrado a .VIR

C:\WINDOWS\SYSTEM32\WW.EXE --> Eliminado Trojan.Agent.EBW

Entrada Eliminada [HKLM\...\Run] "KUYGL"="C:\WINDOWS\system32\kuygl.exe"

Entrada Eliminada [HKLM\...\RunServices] "KUYGL"="C:\WINDOWS\system32\kuygl.exe"

Entrada Eliminada [HKLM\...\RunServices] "WW"="C:\WINDOWS\system32\ww.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 07 04:24:36 2008

EliStartPage v15.60 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 07 04:24:43 2008

EliStartPage v15.60 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\BKLZMBGJLNJ.EXE --> Eliminado, Trojan.Agent.EBW

C:\WINDOWS\system32\EGRRYXLUDEL.EXE --> Eliminado, Trojan.Agent.EBW

C:\WINDOWS\system32\KUYGL.EXE.VIR --> Eliminado, Trojan.Agent.EBW



Nº Total de Directorios: 6134

Nº Total de Ficheros: 56794

Nº de Ficheros Analizados: 15933

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Thu Feb 07 04:29:57 2008

EliStartPage v15.60 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 27

Nº Total de Ficheros: 553

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Feb 07 04:30:01 2008

EliStartPage v15.60 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 1608

Nº Total de Ficheros: 28571

Nº de Ficheros Analizados: 602

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Feb 07 04:30:48 2008

EliStartPage v15.60 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 18

Nº Total de Ficheros: 528

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Feb 07 04:30:52 2008

EliStartPage v15.60 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Feb 07 04:30:59 2008

EliStartPage v15.60 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 40

Nº Total de Ficheros: 245

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





[b]Corriendo el Hj nuevamente aun me aparece el body_blue.exe que envie con las muestras anteriores...

el log como esta ahora..[/b]



Logfile of HijackThis v1.99.1

Scan saved at 4:42:08, on 07/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Servidor\mysql\bin\mysqld-nt.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Under Family\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.2.7.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [AHQInit] C:\Archivos de programa\Creative\SBLive\Program\AHQInit.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DUPEDATE] C:\DOCUME~1\UNDERF~1\DATOSD~1\FUNKSL~1\body blue.exe

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar link con &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Descargar links con BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar todos los videos con BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{6B5D223C-A2CA-4A94-B247-DE0A770242B1}: NameServer = 216.155.73.40 216.155.73.41

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: MySql - Unknown owner - C:/Servidor/mysql/bin/mysqld-nt.exe

O23 - Service: Print Spooler Service (oaeuau84y0i) - Unknown owner - C:\WINDOWS\system32\kuygl.exe (file missing)

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

[msc hotline sat]

Vamos a ver, donde tienes el body_blue.exe ???



Lo enviaste y la muestra la detectamos perfectamente con el actUal ELISTARA (LO ACABO DE COMPROBAR), asi que si no lo hemos detectado puede ser porque lo hayas borrado, comprimido, empaquetado o tocado, pero la muestra enviada la controlamos perfectamente como SWIZZOR



Dinos si tras reiniciar persiste alguna anomalia o ya podemos dar el Tema por solucionado, gracias



saludos



ms, 7-2-2008

[kaninox]

tiene mucha razón master, mire el body_blue.exe lo fui a ver a carpeta en cuestion, [b]funk slow two[/b] y ya no esta, pero como yo había hecho un msconfig aun me aparecía como arrancando lo quite de la lista de inicio y ya...



mi duda master es que en dicha carpeta funk....

aun hay varios programitas .exe que ni idea tengo que hacen hay... en esta están...



0 --- 2kb

cuexxywe.exe --- 435kb

chin ante find option.exe --- 324kb

fivecompsave.exe --- 248kb

hlebsnyb.exe --- 464kb

itrrwjrc.exe --- 274kb

kkapcsix.exe --- 497kb

thxauxab.exe --- 256kb

wbxdydie.exe --- 605kb

xdmufikh.exe --- 490kb



no tengo nada instalado asiendo referencia a dicha carpetilla, haci que mi pregunta es : la elimino ????



gracias nuevamente

[kaninox]

tiene mucha razón master, mire el body_blue.exe lo fui a ver a carpeta en cuestion, [b]funk slow two[/b] y ya no esta, pero como yo había hecho un msconfig aun me aparecía como arrancando lo quite de la lista de inicio y ya...



mi duda master es que en dicha carpeta funk....

aun hay varios programitas .exe que ni idea tengo que hacen hay... en esta están...



0 --- 2kb

cuexxywe.exe --- 435kb

chin ante find option.exe --- 324kb

fivecompsave.exe --- 248kb

hlebsnyb.exe --- 464kb

itrrwjrc.exe --- 274kb

kkapcsix.exe --- 497kb

thxauxab.exe --- 256kb

wbxdydie.exe --- 605kb

xdmufikh.exe --- 490kb



no tengo nada instalado asiendo referencia a dicha carpetilla, haci que mi pregunta es : la elimino ????



gracias nuevamente

[msc hotline sat]

Si quieres subelos uno a uno al VirusTotal y sabras si son algo vírico, y si asi fuera nos los envias para que pasemos a controlarlos:



https://www.virustotal.com/es/



saludos



ms, 7-2-2008

[kaninox]

yes master las probe y sale como TR/Dldr.Swizzor.Gen Downloader.Swizzor



etc...



asi que le envio las muestras :)

[msc hotline sat]

Así es, swizzors a punta pala... no tendrías el Messenger Plus instalado ??? O te infectaste con el CiD ... bueno, pasamos a implementar su control y eliminacion en la version 15.62 del ELISTARA de hoy, que subiremos a eso de las 19 h. a esta web para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 7-2-2008

[kaninox]

yes yes mi hermana instalo el msn plus de hecho aun esta instalado? pero no saco nada con quitarlo lo instalara nuevamente, con esto es factible contagiarse mas rapidamente no se...

que me recomienda.



muchas gracias como siempre :)

[msc hotline sat]

Pues cortarle el acceso a dicho ordenador, o trabajar con otro, pues asi no parará de bajar troyanos.



Pero creo que ya lo has comprobado... el Messenger Plus es un foco de descarga de troyanos.



Con el buscador del foro busca CID y veras cientos de Temas al respecto, la inmensa mayoría por culpa del Messenger Plus. Tu mismo.



saludos



ms, 8-2-2008

[kaninox]

sorry por la demora master anduve de viaje, agradecido estoy :) segui su consejo y quite el msn plus! bueno le dejo mi log nuevamente no va a ser que esta semana que estuve de viaje tenga algo nuevo X)...



saludos



Logfile of HijackThis v1.99.1

Scan saved at 17:55:54, on 20/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Servidor\mysql\bin\mysqld-nt.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\TopDesk\topdesk.exe

C:\WINDOWS\system32\ctfmon.exe

E:\Transparency\TrueTransparency.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Windows\Temp\Rar$EX01.984\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about-blank.in

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.2.7.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [AHQInit] C:\Archivos de programa\Creative\SBLive\Program\AHQInit.exe

O4 - HKLM\..\Run: [TopDesk] C:\Archivos de programa\TopDesk\topdesk.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TransBar] C:\Documents and Settings\Under Family\Configuración local\Datos de programa\AKSoftware\TransBar\TransBar.exe /s

O4 - HKCU\..\Run: [TrueTransparency] "E:\Transparency\TrueTransparency.exe"

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar link con &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Descargar links con BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar todos los videos con BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{6B5D223C-A2CA-4A94-B247-DE0A770242B1}: NameServer = 216.155.73.40 216.155.73.41

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: MySql - Unknown owner - C:/Servidor/mysql/bin/mysqld-nt.exe

O23 - Service: Print Spooler Service (oaeuau84y0i) - Unknown owner - C:\WINDOWS\system32\kuygl.exe (file missing)

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

[msc hotline sat]

No sé lo que es este fichero, envianoslo para analizar:



E:\Transparency\TrueTransparency.exe



y mira si puedes eliminar esta clave:



O23 - Service: Print Spooler Service (oaeuau84y0i) - Unknown owner - C:\WINDOWS\system32\kuygl.exe (file missing)







->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 21-2-2008

[kaninox]

ese E:\Transparency\TrueTransparency.exe

es un programita que no se instala yo lo deje corriendo desde E: hace que la barra de mi windows xp le de transparencia por si las dudas, bueno si es solo eso creo que estariamos al dia, obiamente elimino la entrada esa de kuygl y estariamos dando el tema por solucionado :)



muchisimas gracias y grandes por el cambio del forin :D

[msc hotline sat]

Sugiero los subas al virustotal y asi salgas de dudas:



https://www.virustotal.com/es/



y junto con el resultado, dinos si persiste algun problema o ya podemos dar por solucionado el Tema, gracias



saludos



22.2.2008

[kaninox]

pues master nada en virus total, y pues con respecto a esta entrada no la puedo eliminar :/





O23 - Service: Print Spooler Service (oaeuau84y0i) - Unknown owner - C:\WINDOWS\system32\kuygl.exe (file missing)



no hay caso, pero segun mis conocimientos no creo que influya mucho :/ solo dice que encuentra el archivo...

no se ud dira master...

[msc hotline sat]

Pues prueba el ELISTARA, que desde la 15.63 controla este adware:



---v15.60-( 6 de Febrero del 2008) (Muestras de (3)Vundo9, (4)Vundo6, (7)Vundo5, (2)DownLoader.ConHook "*****.DLL", (4)PWS-OnLineGames.AMVO, Swizzor(lop), [b][i]Trojan.Agent.EBW "KUYGL.EXE"[/i][/b], AdWare.Agent.UJ "ActivationManager.dll", (2)Malware.DNA "DNA.EXE y NPBTDNA.DLL", Excluidos "Winlogon/Notify/FJWSEL, PSUTY" de Fujitsu, "FSP_ABWL" de FSPro Labs y "DKWLNP" de Datakey Inc)


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Aunque estuviera oculto lo encontraria y eliminaria, y si se trata de una variante desconocida, mira luego si es que está oculto (los FILE MISSING pueden estar en una carpeta con path, ocultos o ausentes)



ver: https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 24-2-2008

[kaninox]

mi log



Logfile of HijackThis v1.99.1

Scan saved at 16:21:28, on 24/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Servidor\mysql\bin\mysqld-nt.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\TopDesk\topdesk.exe

C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTB.EXE

C:\WINDOWS\system32\ctfmon.exe

E:\Transparency\TrueTransparency.exe

C:\Archivos de programa\UberIcon\UberIcon Manager.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Under Family\Escritorio\bones\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.2.7.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [AHQInit] C:\Archivos de programa\Creative\SBLive\Program\AHQInit.exe

O4 - HKLM\..\Run: [TopDesk] C:\Archivos de programa\TopDesk\topdesk.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TransBar] C:\Documents and Settings\Under Family\Configuración local\Datos de programa\AKSoftware\TransBar\TransBar.exe /s

O4 - HKCU\..\Run: [TrueTransparency] "E:\Transparency\TrueTransparency.exe"

O4 - HKCU\..\Run: [UberIcon] "C:\Archivos de programa\UberIcon\UberIcon Manager.exe"

O4 - HKCU\..\Run: [Yodm3D] C:\Windows\Temp\RarSFX0\Yodm3D.exe

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar link con &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Descargar links con BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar todos los videos con BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{6B5D223C-A2CA-4A94-B247-DE0A770242B1}: NameServer = 216.155.73.40 216.155.73.41

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: MySql - Unknown owner - C:/Servidor/mysql/bin/mysqld-nt.exe

O23 - Service: Print Spooler Service (oaeuau84y0i) - Unknown owner - C:\WINDOWS\system32\kuygl.exe (file missing)

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe





aun me aparece el file missing :/

se supone que dice que el archivo no se encuentra voy a la carpeta y demás y no esta :/ y no me elimina la entrada esa :/

[lucl]

[quote="msc hotline sat"]Pues prueba el ELISTARA, que desde la 15.63 controla este adware:



---v15.60-( 6 de Febrero del 2008) (Muestras de (3)Vundo9, (4)Vundo6, (7)Vundo5, (2)DownLoader.ConHook "*****.DLL", (4)PWS-OnLineGames.AMVO, Swizzor(lop), [b][i]Trojan.Agent.EBW "KUYGL.EXE"[/i][/b], AdWare.Agent.UJ "ActivationManager.dll", (2)Malware.DNA "DNA.EXE y NPBTDNA.DLL", Excluidos "Winlogon/Notify/FJWSEL, PSUTY" de Fujitsu, "FSP_ABWL" de FSPro Labs y "DKWLNP" de Datakey Inc)


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Aunque estuviera oculto lo encontraria y eliminaria, y si se trata de una variante desconocida, mira luego si es que está oculto (los FILE MISSING pueden estar en una carpeta con path, ocultos o ausentes)



ver: https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 24-2-2008[/quote]



Pero no pasaste el elistara como te recomendo msc no? hazlo si no lo hiciste y peganos el log que te dejara en C infosat.txt saludos

[msc hotline sat]

Si lo pasó y no detectado nada, debería haberle pedido envio de muestra para analizar, lo cual veremos en el INFOSAT que muy oportunamente pide lucl, pero en tal caso conviene que nos envie muestra del fichero en cuestion, que posiblemente estará oculto, ya que dice (FILE MISSING)



recuerde: https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 25-2-2008