Me satura intenet por el puerto 25 :-S (SOLUCIONADO)

[arana13]

A las 16 horas mas o menos podré enviartelo si consigo funcione internet pero sinó te da tiempo cuando puedas no hay ningun problema. Al menos ya teneis una pista importante y eso me deja mas tranquilo.



Saludos

[msc hotline sat]

Bueno, envialos y seran controlados con los del fin de semana.



De todas formas, felicidades, que lo suyo ha costado !



Y la siguiente version del ELISTARA del lunes contemplará su control y eliminacion.



Sobretodo no borres estos ficheros, pues sin analizarlos nada podríamos hacer, y hay que ver lo que han hecho para deshacerlo !



saludos



ms, 29-2-2008

[arana13]

Bueno espero ya sea el paso final pero tranquilo no los pienso borrar por ahora aunque después les tendré hacer algo especial porque han conseguido librarse del PANDA residente con base de datos actualizado, Spybot, ad-aware, superspyware, Elistara, bueno y alguno mas que ahora no me acuerdo y nadie ha podido eliminarlos :-S



El tema de los virus es un mundo sin fin :-S

Pero me alegro tengamos por donde seguir y casi acabar.Confio en vosotros.



No hay prisa cuando sepais algo me lo decís y si quereis eliminie algo a mano no problem me lo decís.



buen finde para todos

[arana13]

Bueno despues de reiniciarse varias veces ya estan enviados los ficheros ya me decis que tal...

[msc hotline sat]

Los podremos analizar el lunes, si Dios quiere, cuando volvamos al trabajo en SATINFO (ahora ya estoy en casa de fin de semana...)



Si quieres, prueba de renombrar la extension de dichos ficheros a .VIR, y reinicia, a ver si evitamos que se pongan en marcha, aunque segun el VUNDO que sea no podrás!



saludos



ms, 29-2-2008

[arana13]

No problem el lunes más el finde es para disfrutar ;)



Probaré [b][i]a ver[/i][/b] que hace renombrando pero creo hay mas tela que cortar.



Gracias.Ciao

[msc hotline sat]

Si, claro, y posiblemente ni te permita modificar la extension del cfyswvme.dll , ya que me temo que este Virtumonde sea de los que clasificamos como VUNDO 9, pero por probar...



Y ya ves que, aunque en finde, estoy al pie del cañón, pero sin el equipo de SATINFO, que es lo que me respalda y donde se monitorizan las muestras, se compara el antes y el despues para saber lo que hacen, y de desarrollan las utilidades que probais en este foro, y como siempre es el equipo lo que cuenta, no mi accion individual, aunque cuente, claro.



ya nos contarás...



saludos



ms, 1-3-2008

[arana13]

Gracias por el interés particular pero al final no he cambiado extensión preferia esperarme no sea que tuviera alguna accion rara a la hora de cambiar la extensión prefiero esperarme a que digais algo cuando lo veais.



Sino os ha llegado decirme algo y os lo vuelvo a enviar pero en principio os lo envié el viernes sobre 16:30 o por ahi con titulo REF <arana13>



Espero a que comenteis algo ;)

[msc hotline sat]

Bueno, pues llegó, y al hacerle un primer analisis con el VirusTotal se detecta como cosa rara el del VUNDO, no exactamente como VUNDO 9 sino como SuperJuan, variante del Juan Search o del CONHOOK, que son de la misma familia.



El otro es una variante del DNSCHANGE como ya se sabía.



Hoy los monitorizaremos e implementaremos el control y eliminacion de los dos en el ELISTARA 15.78 DE HOY, de lo cual informaremos.



saludos



ms, 3-3-2008

[arana13]

Gracias al equipo por la investigación esperemos de resultado y por fin pueda tener el ordenador normal. La verdad algo raro tiene tener para se haya saltado tantas cosas.



Confio en vosotros en cuento esté me lo bajo y haber que tal...Y si ya no se reinica le volvere a psar el AV online a todo el ordenador por si aun queda algo mas que el otro dia solo pude pasar a zonas criticas que tanto tiempo se me reinicaba.



Espero a me digais está el Elistara listo.



Saludos

[msc hotline sat]

Es una nueva variante, y hasta que no se conoce, no se controla y pulula por ahí como Don Pedro por su casa...



Pero esperamos que hoy se acabará la historia :wink:



Ya informaremos.



saludos



ms, 3-3-2008

[arana13]

:D eso esperemos que se quede sin casa :-P

[msc hotline sat]

pOR LO MENOS LO ECHAREMOS DE LA NUESTRA !!! :lol: :lol: :lol:



Aun estamos monitorizando muestras recibidas el viernes tarde, y a la tuya ya le toca el turno pronto, (va por carpetas de usuarios), la cuestion es que está delante de los del fin de semana (sábado y domingo) que nos crean cola cada lunes, pero pronto nos ponemos al día...



A partir de las 19 h GMT subimos cada día las nuevas versiones de la utilidades del día, prueba entonces la de hoy del ELISTARA y cuentanos el resultado.



Si hay algo nuevo que comentar, te lo haré saber.



saludos



ms, 3-3-2008

[arana13]

Vale esta noche cuando esté en casa lo miro y ya te digo algo de como ha ido todo si está ya con mi solucion.Sino no hay prisa mañana mas ;)



Saludos

[msc hotline sat]

Como que ya tenemos las muestras, tienen las horas contadas... :twisted:



saludos



ms, 3-3-2008

[msc hotline sat]

Bueno, sorpresa ! El actual ELISTARA ha encontrado, detectado y eliminado el fichero del VUNDO en cuestion, y es que hemos visto que habias pasado un ELISTARA antiguo, y siempre se ha de descargar la ultima version !!! Justamente las pruebas de evaluacion estan para probar las nuevas versiones.



Probó una 15.71, y el viernes ya había la 15.77... Y entre una y otra hay muchas nuevas variantes, entre ellas varios VUNDO.



Bueno, pues prueba la version que ya hay en esta web, asi sabremos si era por esto que no lo controlaste.




[quote][b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 3-3-3008







NOTA: Igualmente estamos implementando el control del otro DNSCHANGE en la version de hoy, 15.78 , que subiremos mas tarde a esta web.



saludos



ms, 3-3-2008

[msc hotline sat]

Acabamos de subir la version 15.78 del ELISTARA:



https://foros.zonavirus.com/viewtopic.php?f=11&t=23899&p=128398#p128398



Pruebala y nos comentas el resultado con un copiar y pegar del infosat,txt , gracias



saludos



ms, 3-3-2008

[msc hotline sat]

Acabamos de subir la version 15.78 del ELISTARA:



https://foros.zonavirus.com/viewtopic.php?f=11&t=23899&p=128398#p128398



Pruebala y nos comentas el resultado con un copiar y pegar del infosat.txt , gracias



saludos



ms, 3-3-2008

[arana13]

:cry: creo que no ha ido bien aun sigue saturado internet y creo se ha reiniciado. Anoche llegué tarde y pude poner el EListara .78 pero si que detecto los virus que hablamos y uno mas pero creo parecia todo iba igual al reinicar :-s



Dejé toda la noche el AV on-line porque parecia no se reiniciaba pero parece ser al levantarme se habia reiniciado o por lo menos no habia ni rastro del escaneo on-line. Y no me ha dado tiempo ni copiaros el infosat.txt



Os pongo esta tarde el infosat y si puedo pasar el escaneo on line por si encuentra algo que nos sirva de pista :cry:



Bueno gracias por la ayuda podremos con el ;)

[msc hotline sat]

Sí, en el infosat esperamos aparezcan detectados y eliminados los dos troyanos y finalmente en el nuevo escaneo ONLINE, a ver si persiste alguna historia.



Si ya todo está limpio y sigue saturado internet, quizas sea por otra causa no necesariamente virica, usa wireless o tiene un router con wireless aunque no lo use ???



saludos



ms, 4-3-2008

[arana13]

Sí que uso Wifi pero no veo que venga por ahi pero si se reinicia el ordenador es que aun queda algo por ahi escondido creo yo.El EListara des[b][i]h[/i][/b]ace todo lo [b][i]h[/i][/b]echo por los troyanos anteriores ??



Esta tarde haré tambien las comprobaciones de antes y os confirmo.Yo veia que estaba saturado porque va muy lento o no va segun el caso y no se de que depende y veo el adaptador wifi USB no para de parpadear cuando antes (era hace un mes) no lo hacia. Y miro con un programa que me analiza los puertos y me saca el puerto 25 no para de enviar informacion. Y luego el ElitriIP que detecta toda retaila de paginas que no conozco pero esta tarde analizaré bien todo eso.

Lo de Wifi lo miro enseguida lo conecto directamente al ordenador desde el modem usb y arreglao además lo tengo bastante tiempo y no ha habia habido ningun problema.



Bueno ya os sigo contando esto parece la historia interminable jeje ;)



Saludos

[msc hotline sat]

A lo que me refiero es que haya un vecino que esté aprovechando su wireless...



Y en tal caso no vale lo que dice:



"Lo de Wifi lo miro enseguida lo conecto directamente al ordenador desde el modem usb y arreglao", no es suficiente, pues el emisor seguiría activo y pudiendo conectarse otra persona. Mire de conectarlo directamente pero vea si hay un swirch posterior o interruptor que desconecte la wireless, solo asi lo evitará , aparte de poder proteger con Macadress si necesita el wireless, y solo permitir que su ordenador o los que tenga en la configuracion del macadress puedan conectar a traves de este wireless (segun el numero del chip de la tarjeta de red)



Pero esto ya no seríia cosa de virus, igual que los reinicios, probablemente son cosas diferentes, de la conexion, del hardware usado, del ISP, pero no de lo que estamos tratando, aunque lo primero es eliminar los troyanos que hemos visto en su ordenador, por supuesto, y evitar pasearse por servidores de DNS maliciosos que Dios sabe donde le pueden llevar !



Asi que a lo nuestro, tras lo que ha hecho, veamos los informes y obraremos en consecuencia.



saludos



ms, 4-3-2008

[arana13]

Primero no me llames de Usted que ya hay confianza despues de mas de 50 mensajes :wink:



Tranquilo en mi finca esta controlado pero a parte, el modem usb que me da servicio no es Wifi le he puesto yo un puente para que lo sea por lo tanto si me conecto yo directamente al modem original desactivando el puente que me da servicio Wifi estariamos seguros de que no es ese problema esta tarde que tengo tiempo me dedicaré a hacer todo tipo de comprobaciones y os informo yo apuesto mas que igual el troyano ha [b][i]h[/i][/b]echo alguna modificacion que no hemos podido arreglar aun pero bueno lo encontraremos confio en vosotros ;)



Saludos

[msc hotline sat]

Gracias por lo del trato, es que no paro de dar servicio telefonico y hay que cuidar el tratamiento, luego en el foro sale segun la conversacion que estoy teniendo, pues muchas veces, en el lapso de que reinician el ordenador o escanean... contesto lo del foro, por eso a veces puede que me repita o que obvie algo.



Y mirando tu ISP, veo que aparte de usar varios, el ultimo es el mismo que utilizamos nosotros, por radiofrecuencia, y que las otras que usas son de nuestra zona. A lo mejor somos vecinos y te estoy chupando internet :lol:



Bueno, como que el DNSCHANGE alteraba la configuracion de los DNS SERVER y demas, igual te llevaban al huerto o usaban de alguna manera tu ip, no lo sé, y el otro era un VUNDO de los suaves pero tiene previsto descargado algun troyano y con ello puede conectar con varias webs para descargarlo, y saturar tu ancho de banda ... veamos si una vez eliminados persiste el problema, y si ya limpio de ello persiste el problema, a por otra cosa, que posibilidades no faltan.





saludos



ms, 4-3-2008

[arana13]

Gracias a vosotros por la ayuda. Lo del ancho de banda tranquilo que no eres tú jeje pero alguien está dentro de mi ordenador poniendose las botas y enviando mis datos al mundo mundial y tenemos poder con él. :twisted:



ciao

[msc hotline sat]

Igual solo utiliza tu ancho de banda para salir a internet sin enviar nada, solo descarga... o te consta que con tu ip están enviando mails, spam o similiar ???



Que no todo ha de ser para enviar, tambien por recibir se consume ancho de banda... las pelis son muy grandes :wink:



saludos



ms, 4-3-2008

[arana13]

Bueno ya estoy por aqui en el ordenador 'maligno' jeje estoy a prueba de fallos y funciona internet sin embargo en arranque normal no va internet y se me ha reiniciado asi que por partes os envio cosas primero lo imprescindible:





Mon Mar 03 23:58:52 2008

EliStartPage v15.78 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\KDTZD.EXE.MUESTRA ELISTARTPAGE V15.71 --> Eliminado, Flush(dldr)

C:\WINDOWS\system32\CFYSWVME.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\NETRFDS338.EXE --> Eliminado, Flush(dldr)



Nº Total de Directorios: 6725

Nº Total de Ficheros: 93954

Nº de Ficheros Analizados: 26914

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3





Y también:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:52:18, on 04/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode with network support



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q304&bd=presario&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\Inicio.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Enable Labtec NumPad.lnk = C:\Archivos de programa\Labtec NumPad\Magickey.exe

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O4 - Global Startup: SMC2862W-G EZ Connect g 802.11g Wireless USB Utility.lnk = C:\Archivos de programa\SMC\SMC2862W-G EZ Connect g 2.4Ghz 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/202

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q304&bd=presario&pf=laptop

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: Satinfo - C:\WINDOWS\

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe



--

End of file - 7319 bytes

[msc hotline sat]

Bueno, pues el Flush y el VUNDO 5 , yta han pasado a la historia !



Del log puedes eliminar esta clave, que es nuestra:



O20 - Winlogon Notify: Satinfo - C:\WINDOWS\



y que debió quedar como resto, aunque sea inocua eliminala.



y fijate que el muy pillo habia creado una copia del mismo y aun estaba enb la carpeta de sistema, y que si no llega a ser por la muestra enviada y por el testeo por exploracion, no lo habriamos detectado (ni el AV ONLINE lo pilló !)



C:\Muestras\KDTZD.EXE.MUESTRA ELISTARTPAGE V15.71 --> Eliminado, Flush(dldr)



C:\WINDOWS\system32\[b][i]NETRFDS338.EXE[/i][/b] --> Eliminado, Flush(dldr)



Pues ahora reinicia y en cuanto a estos ya no debes tener problemas, si falla internet en modo normal, será por otra historia :wink:



Dices que en modo seguro si que va, querras decir en modo seguro con funciones de red, porque sino sería aun mas raro !



Posteanos el HJT en modo normal y veremos los residentes (al principio) uno de ellos será el causante.



saludos



ms, 4-3-2008

[arana13]

Hola anoche intenté enviaros cosas pero no me iba internet en modo normal y me copié todo para enviaroslo por la mañana en otro ordenador. Así que aqui os envio cosas. Cuando decia en modo seguro era con funciones de red claro ;)



Por fin conseguí pasar en AV on line completo y encontró alguna cosa mas que puede ser lo que estamos buscando pero en otro sitio y que el Elistara actual no ha eliminado al igual que Panda, Spybot , etc etc



KASPERSKY ONLINE SCANNER INFORME

martes, 04 de marzo de 2008 22:02:03

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 4/03/2008

Registros en la base antivirus: 596397





Configuración del análisis

Analizar usando las siguientes bases estendidas

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

C:\

D:\



Estadísticas

Número de objeros analizados 95335

Virus encontrados 3

Objetos infectados 3 / 0

Objetos sospechosos 0

Duración del análisis 01:59:43



Bombre del objeto infectado Nombre del virus Última acción

[b]C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\VEWN16HW\eagle[1].exe Infectados: Trojan.Win32.Pakes.cbb saltado [/b]



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



[b]C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\0V3Y0TSE\mutex_n1_31_01_08_5[1].exe Infectados: Trojan-Downloader.Win32.Isof.qk saltado [/b]

[b]

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\6MW02Y5I\mutex_n1_28_01_08_0[1].exe Infectados: Trojan.Win32.Agent.esw saltado [/b]



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\Sergi\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Sergi\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\Sergi\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\Sergi\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Sergi\Configuración local\Historial\History.IE5\MSHist012008030420080305\index.dat Object is locked saltado



C:\Documents and Settings\Sergi\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\Sergi\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\Sergi\ntuser.dat.LOG Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\WINDOWS\$NtUninstallKB824141$\user32.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB824141$\win32k.sys Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\hh.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\html32.cnv Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\itss.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\locator.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\magnify.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\narrator.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\newdev.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\ole32.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\osk.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\rpcrt4.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\rpcss.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\shell32.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\srv.sys Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826942$\ndis.sys Object is locked saltado



C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys Object is locked saltado



C:\WINDOWS\$NtUninstallKB826942$\netshell.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826942$\nwlnkipx.sys Object is locked saltado



C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828028$\msasn1.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



Análisis completado.



No entiendo tantas lineas NtUninstallKB826942 pero bueno no dice nada de eso pero el dowloader puede ser nuestro gran buscado amigo.Y he intentado encontrar esos ficheros y enviaroslo para lo mirarais pero no veo esa ruta bien y si llego a algo no esta el fichero que dice. Si hace falta miraré algun programa que lo haga que creo que hay.



Te envio tmabien lo que me pides el HJT en modo normal pero ahi no veo yo mucho pero vosotros sois los expertos ;):



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:45:54, on 04/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AVENGINE.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Labtec NumPad\Magickey.exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\Archivos de programa\SMC\SMC2862W-G EZ Connect g 2.4Ghz 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\SRVLOAD.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\WebProxy.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavBckPT.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\Upgrader.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\SoftwareDistribution\Download\118d4bc352efc1f44611369d05799f18\update\update.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q304&bd=presario&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\Inicio.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Enable Labtec NumPad.lnk = C:\Archivos de programa\Labtec NumPad\Magickey.exe

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O4 - Global Startup: SMC2862W-G EZ Connect g 802.11g Wireless USB Utility.lnk = C:\Archivos de programa\SMC\SMC2862W-G EZ Connect g 2.4Ghz 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/202

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q304&bd=presario&pf=laptop

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe



--

End of file - 9082 bytes







Ya me decis algo. Gracias

[msc hotline sat]

Pues lo unico que se ve malicioso son estos tres ficheros temporales:



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\VEWN16HW\eagle[1].exe



C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\0V3Y0TSE\mutex_n1_31_01_08_5[1].exe



C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\6MW02Y5I\mutex_n1_28_01_08_0[1].exe





Para eliminarlos, desactiva tu antivirus ([b][i][u]o arranca en modo segur0 [/u][/i][/b]) y prueba el ELITEMPO:



http://www.zonavirus.com/datos/descargas/70/EliTempo.asp



saludos



ms, 5-3-2008