Escritorio y barra de tareas parpadeante (SOLUCIONADO)

deathrasher · Mensaje por **deathrasher** » 09 Feb 2008, 12:22

ola!

Pues eso... que abierto un archivo .rar y apartir de ahi el escritorio no hace otra cosa q desaparecer y volver a cargarse cada5 seg, con lo que no puedo hacer nada de nada, porq al abrir el explorer desaparece con el mismo.

quisiera como minimo intentar pasar parte de los archivos a un disco duro externo para poder salvarlo antes de formatear, pero no puedo, en modo a prueba de fallo ocurre lo mismo.

A que se debe? que puedo hacer?

GRACIAS Y UN SALUDO!

Mensaje por **lucl** » 09 Feb 2008, 13:15

puedes intentar ejecutar el hijacktis y pegarnos el log al menos?

o si recuerdas el nombre del archivo buscarlo y renombrarlo a .VIR a ver si eso fuera posible reinicias y no deberia ponerse en marcha, nos comentas, saludos

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

deathrasher · Mensaje por **deathrasher** » 09 Feb 2008, 13:27

el archivo creo q lo borre... por lo menos lo descomrpimido...

ahi va el log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:07:15, on 16/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\svchost.exe

C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

C:\WINDOWS\system32\lxczcoms.exe

C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.finderg.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll (file missing)

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe

O4 - HKCU\..\Policies\Explorer\Run: [System Patcher] BTCPatcher.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21-3043696441-642913227-443997894-1006\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: lxcz_device - - C:\WINDOWS\system32\lxczcoms.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Archivos de programa\WinPcap\rpcapd.exe (file missing)

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

--

End of file - 5549 bytes

mil gracias por la ayuda!

Mensaje por **lucl** » 09 Feb 2008, 14:05

Pues ahora intenta pasar estos dos programas que son antitrojanos, a ver que pasa si lo consigues peganos el log que te dejaran en C infosat.txt

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

y no recuerdas su nombre? si es asi intenta un inicio----buscar y a ver si encuentras el ejecutable, seria un buen modo de atontarlo de entrada.

y esta entrada mira a ver si te suena

C:\WINDOWS\system32\lxczcoms.exe

si lo conoces dinoslo saludos

deathrasher · Mensaje por **deathrasher** » 09 Feb 2008, 15:27

El archivo que comentas lo he encontrado, deberia tenerlo aunq no este infectado? o es parte del "virus".

PD: estoy haciendo la revision con el programa que dijiste, a ver q pasa....

un saludo y gracias!

Mensaje por **lucl** » 09 Feb 2008, 15:50

No, perdona son dos cosas distintas, uno es el que descargaste zip o rar como te vino el virus, que dices has eliminado, y luego al abrirlo tu se tuvo que crear un archivo de nombre parecido o similar, te pregunte si con inicio----buscar lo encontrabas si es que recordabas el nombre.(el del virus )

El archivo que te comento es que no se a que pertenece, igual tu si sabes de que es, y es este (en negrita)

C:\WINDOWS\system32\~~[b]~~lxczcoms.exe [/b]

pues si conoces este ultimo nos lo comentas, puede ser de algo conocido por ti pero no por mi, y si no sabes de que programa puede ser subelo a analizar a virustotal y alli te diran algo los 32 antivirus que te lo analizen, y nos copias el resultado.

http://www.virustotal.com

y no te olvides de pegarnos el log que tendras en C infosat.txt cuando termines de pasar elistara y elitriip, saludos

deathrasher · Mensaje por **deathrasher** » 09 Feb 2008, 16:04

ahi va el log

Sat Feb 16 15:16:52 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\NTSPOOL.EXE.Muestra EliTriIP v4.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NTSPOOL.EXE --> Eliminado

C:\DOCUME~1\RODROO\CONFIG~1\TEMP\SVCHOST.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD

Sat Feb 16 15:18:18 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\autorun3.exe --> Eliminado, BackDoor.CKB

C:\WINDOWS\system32\OfcpfwSvcs.exe --> Eliminado, BackDoor.CKB

Nº Total de Directorios: 9744

Nº Total de Ficheros: 117748

Nº de Ficheros Analizados: 16782

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Sat Feb 16 15:28:22 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 240

Nº Total de Ficheros: 2988

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sat Feb 16 15:29:24 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Feb 16 15:34:40 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\QOMNLII] -> C:\WINDOWS\SYSTEM32\qomnlii.dll

C:\WINDOWS\SYSTEM32\AUDIOHQ.EXE --> Eliminado BanLoad.FVT

Por favor, envienos una muestra del fichero

C:\Muestras\QOMNLII.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\QOMNLII.DLL --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\WINDOWS\SYSTEM32\UPDATER.DLL --> Eliminado

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminada Class, "{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}" -> C:\WINDOWS\system32\updater.dll

Nº Total de Directorios: 9352

Nº Total de Ficheros: 109247

Nº de Ficheros Analizados: 11669

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\PMKHF.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sat Feb 16 15:41:26 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\QOMNLII] -> C:\WINDOWS\SYSTEM32\qomnlii.dll

[WinLogon\Notify\QOMNLII]

Por favor, envienos una muestra del fichero

C:\WinLogon\QOMNLII.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\QOMNLII.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\QOMNLII.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\PMKHF.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PMKHF.DLL --> Acceso Denegado.

Eliminada Class, "{4CC830AD-A34C-499D-972E-4013CE578D86}" -> C:\WINDOWS\system32\pmkhf.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Feb 16 15:45:13 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\QOMNLII] -> C:\WINDOWS\SYSTEM32\qomnlii.dll

Por favor, envienos una muestra del fichero

C:\Muestras\QOMNLII.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\QOMNLII.DLL --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Feb 16 15:45:48 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\CHAMBER.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\ECHO.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\FLANGER.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\GRAPHICPHASE.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\HARDLIMIT.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\MULTITAP.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\NOTCH.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Codec Pack de ELISOFT\divx511\FSG_4104.EXE --> Eliminado, Gator Gain

C:\Archivos de programa\eMule\Incoming\A.VOLTA.DO.TODO.PODEROSO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\ALL.ANAL.ACTION.BR.2007.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\AVG75FREE_446A965.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\BRASILEIRINHAS.VIVI.COM.ANAL.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\CURRICULO_PROFISSIONAL_COMPLETO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\FILME-O.HOMEM.QUE.ENGANOU.O.DIABO.2007-BR.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\FINANCEIRO20_COMPLETO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\FIREFOX-2.0.0.3.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\FOTOS_ACIDENTE_AIRBUS_TAM.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\GOOGLEEARTHWIN.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\IAVS4PRO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\INSTALL_MESSENGER.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\MICROSOFT.WINDOWS.VISTA.BR.COMPLETO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\NERO-7.8.5.0_PTB_TRIAL.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\OFFICE.2007.ENTERPRISE.BR.COMPLETO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\OFFICE2007BR.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\PHOTOSHOP.CS3.BR.COMPLETO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\PHOTOSHOPCS3.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\SPYBOTSD14.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\TRANSFORMES2007_TRAILER_EXCLUSIVO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\TROPA_DE_ELIDE.2007-COMPLETO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\TUTORIAL.DO.PHOTOSHOP.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\TUTORIAL.PROGRAMACAO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\VIDEO_ACIDENTE_AIRBUS_TAM.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\WINDOWS_VISTA_HOME_BR_KEYGEN.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\WINDOWS_XP_CRACK.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\WINRAR.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\WINXP_CRACK.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\WMP11-WINDOWSXP-X86-PT-BR.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\WRAR37B7BR.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\Microsoft Office\Office12\MSPJEVTS.DLL --> Eliminado, RemoteAdmin(lmiinit)

C:\WINDOWS\system32\IGFXPPH.DLL --> Eliminado, NetNucleus(BHO/TB)

C:\WINDOWS\VGA\IGFXPPH.DLL --> Eliminado, NetNucleus(BHO/TB)

Nº Total de Directorios: 9756

Nº Total de Ficheros: 103031

Nº de Ficheros Analizados: 21186

Nº de Ficheros Infectados: 41

Nº de Ficheros Limpiados: 41

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\PMKHF.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

y el archivo... no me acuerdo del nombre es una pena.

Con respecto a ese archivo no me suena de nada, haré lo que me dices!

muchas gracias y un saludo!

deathrasher · Mensaje por **deathrasher** » 09 Feb 2008, 16:14

el analisis de la web....

Análisis del archivo lxczcoms.exe recibido el 09.02.2008 16:10:03 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO

Resultado: 0/32 (0%)

Cargando información del servidor..

Su archivo se encuentra encolado en la posición: 3.

Se estima que tendrá que esperar entre 44 y 63 segundos

hasta el comienzo del análisis.

No cierre la ventana hasta se haya completado el análisis.

El analizador que estaba procesando su muestra se encuentra detenido,

se va a esperar unos segundos por si fuera posible recuperar el resultado.

Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.

Su archivo está siendo analizado por VirusTotal en estos momentos,

los resultados se iran mostrando a continuación.

Compactar Compactar Imprimir resultados Imprimir resultados

La muestra ha caducado o no existe.

El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.

Email:

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.2.6.10 2008.02.05 -

AntiVir 7.6.0.62 2008.02.08 -

Authentium 4.93.8 2008.02.08 -

Avast 4.7.1098.0 2008.02.08 -

AVG 7.5.0.516 2008.02.09 -

BitDefender 7.2 2008.02.09 -

CAT-QuickHeal None 2008.02.08 -

ClamAV 0.92 2008.02.09 -

DrWeb 4.44.0.09170 2008.02.09 -

eSafe 7.0.15.0 2008.01.28 -

eTrust-Vet 31.3.5522 2008.02.08 -

Ewido 4.0 2008.02.08 -

FileAdvisor 1 2008.02.09 -

Fortinet 3.14.0.0 2008.02.09 -

F-Prot 4.4.2.54 2008.02.08 -

F-Secure 6.70.13260.0 2008.02.09 -

Ikarus T3.1.1.20 2008.02.09 -

Kaspersky 7.0.0.125 2008.02.09 -

McAfee 5226 2008.02.08 -

Microsoft 1.3204 2008.02.09 -

NOD32v2 2861 2008.02.09 -

Norman 5.80.02 2008.02.08 -

Panda 9.0.0.4 2008.02.09 -

Prevx1 V2 2008.02.09 -

Rising 20.29.22.00 2008.01.30 -

Sophos 4.26.0 2008.02.09 -

Sunbelt 2.2.907.0 2008.02.09 -

Symantec 10 2008.02.09 -

TheHacker 6.2.9.213 2008.02.09 -

VBA32 3.12.6.0 2008.02.09 -

VirusBuster 4.3.26:9 2008.02.09 -

Webwasher-Gateway 6.6.2 2008.02.09 -

Información adicional

Tamano archivo: 537520 bytes

MD5: 19bb484cf7518749b20df7760d43656a

SHA1: 8e7db23cb61daf049798908b55a53b02b4ddf52a

PEiD: -

deathrasher · Mensaje por **deathrasher** » 09 Feb 2008, 16:49

creo q he encontrado el archivo infectado!

lo tenia en el escritorio y lo he pasado por virustotal y me pone lo sigueinte....

Análisis del archivo BTCPatcher.exe recibido el 09.02.2008 16:43:53 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO

Resultado: 17/32 (53.13%)

Cargando información del servidor..

Su archivo se encuentra encolado en la posición: ___.

Se estima que tendrá que esperar entre ___ y ___

hasta el comienzo del análisis.

No cierre la ventana hasta se haya completado el análisis.

El analizador que estaba procesando su muestra se encuentra detenido,

se va a esperar unos segundos por si fuera posible recuperar el resultado.

Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.

Su archivo está siendo analizado por VirusTotal en estos momentos,

los resultados se iran mostrando a continuación.

Compactar Compactar Imprimir resultados Imprimir resultados

La muestra ha caducado o no existe.

El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.

Email:

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.2.6.10 2008.02.05 -

AntiVir 7.6.0.62 2008.02.08 TR/Drop.Age.1499136

Authentium 4.93.8 2008.02.08 -

Avast 4.7.1098.0 2008.02.08 -

AVG 7.5.0.516 2008.02.09 BackDoor.Delf.AXM

BitDefender 7.2 2008.02.09 MemScan:Trojan.Delf.OWN

CAT-QuickHeal None 2008.02.08 TrojanDropper.Agent.dmy

ClamAV 0.92 2008.02.09 -

DrWeb 4.44.0.09170 2008.02.09 -

eSafe 7.0.15.0 2008.01.28 -

eTrust-Vet 31.3.5522 2008.02.08 -

Ewido 4.0 2008.02.09 Dropper.Agent.dky

FileAdvisor 1 2008.02.09 -

Fortinet 3.14.0.0 2008.02.09 W32/Agent.DMY!tr

F-Prot 4.4.2.54 2008.02.08 W32/Backdoor2.FSI

F-Secure 6.70.13260.0 2008.02.09 Trojan-Dropper.Win32.Agent.dmy

Ikarus T3.1.1.20 2008.02.09 Virus.Win32.Agent.OJX

Kaspersky 7.0.0.125 2008.02.09 Trojan-Dropper.Win32.Agent.dmy

McAfee 5226 2008.02.08 -

Microsoft 1.3204 2008.02.09 Backdoor:Win32/Agent

NOD32v2 2861 2008.02.09 Win32/IRCBot.ACW

Norman 5.80.02 2008.02.08 -

Panda 9.0.0.4 2008.02.09 W32/P2PShared.D.worm

Prevx1 V2 2008.02.09 Generic.Malware

Rising 20.29.22.00 2008.01.30 -

Sophos 4.26.0 2008.02.09 Sus/ComPack

Sunbelt 2.2.907.0 2008.02.09 -

Symantec 10 2008.02.09 -

TheHacker 6.2.9.213 2008.02.09 -

VBA32 3.12.6.0 2008.02.09 Trojan-Dropper.Win32.Agent.dmy

VirusBuster 4.3.26:9 2008.02.09 -

Webwasher-Gateway 6.6.2 2008.02.09 Trojan.Drop.Age.1499136

Información adicional

Tamano archivo: 1499136 bytes

MD5: 15ce420257436ab2558ad4e1b4c23cf4

SHA1: dbcb8b711db82ab2e4b3cfe0ac456ae8c97a8031

PEiD: -

packers: Armadillo

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=9FA3160100BFABCDE05316A9C2DBF2000B322F57

Mensaje por **lucl** » 09 Feb 2008, 18:18

Bien, entonces olvidate del archivo que te comente yo y que en virustotal te dio limpio, ahora debes enviarnos una muestra del virus que subiste a analizar a virustotal , ademas de enviarnos los archivos que tendras en la carpeta muestras en C, y que te ha dejado elistara para analizar, sigue las indicaciones del siguiente link para ello

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

incluye tambien en el envio este otro que no esta en la carpeta muestras

Por favor, envienos una muestra del fichero

C:\WinLogon\QOMNLII.DLL

Tambien debes descargarte esta herramienta

http://www.zonavirus.com/descargas/elinotif.asp

y ponerlo en una misma carpeta con el elistara pues son complementarias, una vez echo esto ejecutas elistara de nuevo y nos pegas el trozo nuevo de log. Y para el vundo9 mira este link

https://foros.zonavirus.com/informacion-sobre-vundo-9-control-y-eliminacion-vt22997.html?highlight=consola

Y ya que encontraste el virus una vez lo envies renombralo a .VIR si no lo has echo ya, y comentanos que tal va ahora tu pc pues de momento ya hemos echo una buena limpieza y creo que habra mejorado, confirmanoslo saludos

deathrasher · Mensaje por **deathrasher** » 09 Feb 2008, 19:05

una cosa... elimine el archivo del system32 y del escritorio con el fileassasin y ya no ha vuelto a parecer pero el problema persiste

deathrasher · Mensaje por **deathrasher** » 09 Feb 2008, 19:21

otra cosa... existe algun programa para buscar archivos? pq con el explorer no puedo buscar nada q solo me aguanta los 5 seg q tarda en irse todo

Mensaje por **msc hotline sat** » 09 Feb 2008, 21:40

Como que no he participado en este Tema, y ya está en las nuenas manos de lucl, solo aporto comentarios:

El fichero que indicabas LXCZCOMS.EXE, no es malware:

http://spywarefiles.prevx.com/RRGIHA35004050/LXCZCOMS.EXE.html

y estas tres claves pueden eliminarse:

O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe

O4 - HKCU\..\Policies\Explorer\Run: [System Patcher] BTCPatcher.exe

O4 - HKUS\S-1-5-21-3043696441-642913227-443997894-1006\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe (User '?')

Aparte, el infosat piude envio de muestras para analizar e implementar su control en nuevas versiones:

Por favor, envienos una muestra del fichero

C:\Muestras\NTSPOOL.EXE.Muestra EliTriIP v4.35

Por favor, envienos una muestra del fichero

C:\Muestras\QOMNLII.DLL.Muestra EliStartPage v15.62

Por favor, envienos una muestra del fichero

C:\Muestras\PMKHF.DLL.Muestra EliStartPage v15.62

y este otro analizado por virustotal, tambien claro:

BTCPatcher.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Tras recibir las muestras las analizaremos y procederemos en consecuencia

saludos

ms, 9-2-2008

Mensaje por **lucl** » 09 Feb 2008, 21:45

Usa esto para encontrarlo

http://www.zonavirus.com/descargas/buscareg.asp

y mira que tengas todos los archivos visibles

Dentro de Mipc/Herramientas/Opciones de carpeta/Ver/Archivos y carpetas

ocultos "selecciona Mostrar archivos y carpetas ocultos/aplicar/aceptar

a ver si lo encuentras, y dime que tal vas en lo demas que te faltaba, saludos

y para msc muchas gracias por el apunte :D

deathrasher · Mensaje por **deathrasher** » 09 Feb 2008, 22:57

a ver... el programa de busqueda me localiza BTCPatcher.exe, ahora solo esta en el escritorio, pero sigo sin poder verlo y si esta oculto no puedo configurar el explorer para ver archivos ocultos, puesto que el explorer no puedo ni abrirlo jeje.

menudo lio!jeje

PD:estoy comprimiendo los archivos que me decis que mande a ver q tall....

GRACIAS!

deathrasher · Mensaje por **deathrasher** » 09 Feb 2008, 23:14

Sat Feb 16 15:16:52 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\NTSPOOL.EXE.Muestra EliTriIP v4.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NTSPOOL.EXE --> Eliminado

C:\DOCUME~1\RODROO\CONFIG~1\TEMP\SVCHOST.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD

Sat Feb 16 15:18:18 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\autorun3.exe --> Eliminado, BackDoor.CKB

C:\WINDOWS\system32\OfcpfwSvcs.exe --> Eliminado, BackDoor.CKB

Nº Total de Directorios: 9744

Nº Total de Ficheros: 117748

Nº de Ficheros Analizados: 16782

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Sat Feb 16 15:28:22 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 240

Nº Total de Ficheros: 2988

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sat Feb 16 15:29:24 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Feb 16 15:34:40 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\QOMNLII] -> C:\WINDOWS\SYSTEM32\qomnlii.dll

C:\WINDOWS\SYSTEM32\AUDIOHQ.EXE --> Eliminado BanLoad.FVT

Por favor, envienos una muestra del fichero

C:\Muestras\QOMNLII.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\QOMNLII.DLL --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\WINDOWS\SYSTEM32\UPDATER.DLL --> Eliminado

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminada Class, "{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}" -> C:\WINDOWS\system32\updater.dll

Nº Total de Directorios: 9352

Nº Total de Ficheros: 109247

Nº de Ficheros Analizados: 11669

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\PMKHF.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sat Feb 16 15:41:26 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\QOMNLII] -> C:\WINDOWS\SYSTEM32\qomnlii.dll

[WinLogon\Notify\QOMNLII]

Por favor, envienos una muestra del fichero

C:\WinLogon\QOMNLII.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\QOMNLII.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\QOMNLII.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\PMKHF.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PMKHF.DLL --> Acceso Denegado.

Eliminada Class, "{4CC830AD-A34C-499D-972E-4013CE578D86}" -> C:\WINDOWS\system32\pmkhf.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Feb 16 15:45:13 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\QOMNLII] -> C:\WINDOWS\SYSTEM32\qomnlii.dll

Por favor, envienos una muestra del fichero

C:\Muestras\QOMNLII.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\QOMNLII.DLL --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Feb 16 15:45:48 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\CHAMBER.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\ECHO.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\FLANGER.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\GRAPHICPHASE.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\HARDLIMIT.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\MULTITAP.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\NOTCH.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Codec Pack de ELISOFT\divx511\FSG_4104.EXE --> Eliminado, Gator Gain

C:\Archivos de programa\eMule\Incoming\A.VOLTA.DO.TODO.PODEROSO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\ALL.ANAL.ACTION.BR.2007.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\AVG75FREE_446A965.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\BRASILEIRINHAS.VIVI.COM.ANAL.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\CURRICULO_PROFISSIONAL_COMPLETO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\FILME-O.HOMEM.QUE.ENGANOU.O.DIABO.2007-BR.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\FINANCEIRO20_COMPLETO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\FIREFOX-2.0.0.3.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\FOTOS_ACIDENTE_AIRBUS_TAM.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\GOOGLEEARTHWIN.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\IAVS4PRO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\INSTALL_MESSENGER.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\MICROSOFT.WINDOWS.VISTA.BR.COMPLETO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\NERO-7.8.5.0_PTB_TRIAL.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\OFFICE.2007.ENTERPRISE.BR.COMPLETO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\OFFICE2007BR.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\PHOTOSHOP.CS3.BR.COMPLETO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\PHOTOSHOPCS3.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\SPYBOTSD14.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\TRANSFORMES2007_TRAILER_EXCLUSIVO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\TROPA_DE_ELIDE.2007-COMPLETO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\TUTORIAL.DO.PHOTOSHOP.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\TUTORIAL.PROGRAMACAO.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\VIDEO_ACIDENTE_AIRBUS_TAM.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\WINDOWS_VISTA_HOME_BR_KEYGEN.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\WINDOWS_XP_CRACK.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\WINRAR.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\WINXP_CRACK.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\WMP11-WINDOWSXP-X86-PT-BR.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\eMule\Incoming\WRAR37B7BR.EXE --> Eliminado, BanLoad.FVT

C:\Archivos de programa\Microsoft Office\Office12\MSPJEVTS.DLL --> Eliminado, RemoteAdmin(lmiinit)

C:\WINDOWS\system32\IGFXPPH.DLL --> Eliminado, NetNucleus(BHO/TB)

C:\WINDOWS\VGA\IGFXPPH.DLL --> Eliminado, NetNucleus(BHO/TB)

Nº Total de Directorios: 9756

Nº Total de Ficheros: 103031

Nº de Ficheros Analizados: 21186

Nº de Ficheros Infectados: 41

Nº de Ficheros Limpiados: 41

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\PMKHF.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sat Feb 16 16:16:51 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\QOMNLII] -> C:\WINDOWS\SYSTEM32\qomnlii.dll

Por favor, envienos una muestra del fichero

C:\Muestras\QOMNLII.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\QOMNLII.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\PMKHF.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PMKHF.DLL --> Acceso Denegado.

Eliminada Class, "{2EB46112-DD78-471F-964B-FA6CD9D722A8}" -> C:\WINDOWS\system32\pmkhf.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Feb 16 16:17:20 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 9341

Nº Total de Ficheros: 93735

Nº de Ficheros Analizados: 15120

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\PMKHF.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\qomnlii.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\QOMNLII"

Detectado Vundo9

Elininada Class {09ACA1E7-390B-4C60-A176-D57DF26803C7}

Elininado BHO {09ACA1E7-390B-4C60-A176-D57DF26803C7}

Desinstalado EliNotif.dll

Sat Feb 16 16:36:23 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PMKHF.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PMKHF.DLL --> Acceso Denegado.

Eliminada Class, "{B0674E0D-7F99-44A0-AC92-4BBB6C8D4F8F}" -> C:\WINDOWS\system32\pmkhf.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\PMKHF.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

Sat Feb 16 16:41:04 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PMKHF.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PMKHF.DLL --> Acceso Denegado.

Eliminada Class, "{B0674E0D-7F99-44A0-AC92-4BBB6C8D4F8F}" -> C:\WINDOWS\system32\pmkhf.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Feb 16 16:41:23 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 9765

Nº Total de Ficheros: 103074

Nº de Ficheros Analizados: 21160

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sat Feb 16 17:35:48 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 9765

Nº Total de Ficheros: 103085

Nº de Ficheros Analizados: 21160

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\PMKHF.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo9

Elininada Class {F21ED82A-1E36-4483-8785-01E1A87D1EA4}

Elininado BHO {F21ED82A-1E36-4483-8785-01E1A87D1EA4}

Desinstalado EliNotif.dll

Sat Feb 16 18:40:27 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PMKHF.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PMKHF.DLL --> Acceso Denegado.

Eliminada Class, "{8B9198D5-FFBF-42CA-8907-DA4C89EC1A40}" -> C:\WINDOWS\system32\pmkhf.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\PMKHF.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo9

Elininada Class {1B582D93-C842-4112-BE4A-49B1F505D98B}

Elininado BHO {1B582D93-C842-4112-BE4A-49B1F505D98B}

Desinstalado EliNotif.dll

Sat Feb 16 18:56:26 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PMKHF.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PMKHF.DLL --> Acceso Denegado.

Eliminada Class, "{D973F512-B13F-4CF0-B654-012C22082F60}" -> C:\WINDOWS\system32\pmkhf.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\PMKHF.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo9

Elininada Class {609A38B4-D567-49A1-9E8B-3E172605AD75}

Elininado BHO {609A38B4-D567-49A1-9E8B-3E172605AD75}

Desinstalado EliNotif.dll

Sat Feb 16 19:06:11 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PMKHF.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PMKHF.DLL --> Acceso Denegado.

Eliminada Class, "{09885306-9A35-4B65-8331-41984EEC21B3}" -> C:\WINDOWS\system32\pmkhf.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\PMKHF.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo9

Elininada Class {DE2A6827-D89A-41F2-A9BB-5BF3DFAB9CA5}

Elininado BHO {DE2A6827-D89A-41F2-A9BB-5BF3DFAB9CA5}

Desinstalado EliNotif.dll

Sat Feb 16 23:03:21 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PMKHF.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PMKHF.DLL --> Acceso Denegado.

Eliminada Class, "{02A58508-C3F7-436E-B5A9-44127F84994A}" -> C:\WINDOWS\system32\pmkhf.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Feb 16 23:03:31 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 9732

Nº Total de Ficheros: 102446

Nº de Ficheros Analizados: 21111

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\PMKHF.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

deathrasher · Mensaje por **deathrasher** » 09 Feb 2008, 23:18

a~~[b]~~[i]h[/i][/b]ora buscare el cd de windows para ver el tema del vundo9, aunq tp me netere mucho en lo q lei jeje, a ver...

Mensaje por **lucl** » 10 Feb 2008, 08:13

Fijate que elinotif te dice reinicie para completar limpieza, que supongo ya has ~~[b]~~[i]h[/i][/b]echo, y si tienes dudas para limpiar el vundo9 consultanos de nuevo. Los archivos que han sido enviados se analizaran mañana y te avisaran a lo largo del dia. Y en cuanto al virus si lo tienes en el escritorio supongo que no te da tiempo a renombrarlo a .VIR no? saludos

Mensaje por **msc hotline sat** » 10 Feb 2008, 08:19

Y como que vemos que ha tenido el CiD, posteenos log del HJT para ver si tiene algun sospechoso de SWIZZOR del que le pediremos muestra para controlarlo:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 10-2-2008

deathrasher · Mensaje por **deathrasher** » 10 Feb 2008, 13:27

A ver os comento....

del BTCPatcher.exe ya no hay ni rastro jeje, eso significa que solo me falta desinfectar el vundo9? porq con el programa de busqueda que me habeis dicho no lo encuentro.

y el log del hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:25:56, on 17/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\svchost.exe

C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

C:\WINDOWS\system32\lxczcoms.exe

C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Rodroo\Escritorio\VIRUS\BUSCAREG.EXE

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Rodroo\Escritorio\VIRUS\ELISTARA.19022008.EXE

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21-3043696441-642913227-443997894-1006\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: lxcz_device - - C:\WINDOWS\system32\lxczcoms.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Archivos de programa\WinPcap\rpcapd.exe (file missing)

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

--

End of file - 5319 bytes

gracias!

un saludo

deathrasher · Mensaje por **deathrasher** » 10 Feb 2008, 13:34

por cierto... con respecto al elinotif, cada vez q reinicio me vuelve aparecer y me dice q estoy infectado por el vundo9 y que reinicie para completar la eliminación. Es normal no? este programa no debería de eliminar el vundo9 o si?

perdon por ser tan pesao :) jeje

Mensaje por **lucl** » 10 Feb 2008, 20:00

Como te hemos contado el vundo 9 se elimina en consola de recuperacion, recuerda el link que te di, saludos

Mensaje por **msc hotline sat** » 10 Feb 2008, 20:39

Log limpio

Y como muy bien indica lucl, dado que indica:

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\~~[b]~~[i]PMKHF.DLL[/i][/b])

procede segun explicamos en:

https://foros.zonavirus.com/informacion-sobre-vundo-9-control-y-eliminacion-vt22997.html

saludos

ms, 10-2-2008

deathrasher · Mensaje por **deathrasher** » 10 Feb 2008, 22:41

gracias!

aora estoy en la consola de recuperacion, y me pregunta desde donde quiero iniciar la instalacion... y si no pongo nada reinicia y si pongo C no me lo acepta, por lo tanto no puedo acceder al borrar el arechivo en msdos. que pongo en esa pregunta?

deathrasher · Mensaje por **deathrasher** » 10 Feb 2008, 23:03

ya esta era una tnteria jaja. aora me pide la contraseña de administrador. cual es?

deathrasher · Mensaje por **deathrasher** » 10 Feb 2008, 23:20

ya esta.... listo!

muchisimas gracias por la ayuda!

asi dagusto jeje.

un saludo! y espero no tener volver por aqui... (ironico) jaja :P

Mensaje por **msc hotline sat** » 11 Feb 2008, 05:56

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo

Si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 11-2-2008

Mensaje por **msc hotline sat** » 11 Feb 2008, 18:16

Postcierre se reciben muestras para analizar que se monitorizaran e implementaran mañana en nuevas versiones de nuestras utilidades, y aunque ya tenga solucionado el problema, es conveniente probar las versiones de mañana del ELISTARA y del ELITRIIP PARA LIMPIAR RESTOS NO CONTROLADOS.

saludos

ms, 11-2-2008