Despues de eliminar downloader

[juls]

Muy buenas. Hce unos días que intenté eliminar el virus DOWNLOADER. Parece ser que utilizando programas como Spybot o Ad-aware y pasando antivirus online como Kaspersky o Ewido parace que se solucionó el problema. Pero desde entonces noyo el pc mucho más lento. Aqui les dejo mi log de Hijackthis para que vean si está limpio. Muchas gracias:





Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:01:30, on 11/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Norton Internet Security\ISSVC.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\arservice.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\ARPWRMSG.EXE

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AF458057-C64F-4524-B01B-5DF5E0C89CE9}: NameServer = 80.58.0.33

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe



--

End of file - 9194 bytes

[msc hotline sat]

El log está limpio, pero es posible que no se restauraran algunas claves modificadas por el downloader que tuviste, prueba el ELISTARA, dile que sí a eliminar temporales cuando te lo pida, y explora tu disco duro, encuentre o no troyanos, limpiará las claves que hubieran dejado los mismos:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 11-3-2008

[juls]

este ha sido el resultado del log the Elistara. Por cierto.Tiene algo que ver que en dos dia no me haya funcionado ni el msn ni hotmail??





Tue Sep 04 18:50:06 2007

EliStartPage v14.56 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Sep 04 18:58:19 2007

EliStartPage v14.56 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)



Tue Sep 04 18:58:25 2007

EliStartPage v14.56 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\ReinstallBackups\0012\DriverFiles\ALCMTR.EXE --> Eliminado, SpyRealtek



Thu Sep 13 13:51:00 2007

EliStartPage v14.56 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminados Ficheros Temporales del IE



Thu Sep 13 13:51:28 2007

EliStartPage v14.56 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Thu Sep 13 14:09:37 2007

EliStartPage v14.56 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Thu Sep 13 14:09:38 2007

EliStartPage v14.56 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Sep 16 18:30:16 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Sun Sep 16 18:30:22 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Sep 16 18:35:08 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Sun Sep 16 18:35:11 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Sun Sep 16 18:35:14 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Sun Sep 16 18:35:16 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Sun Sep 16 18:35:25 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad I:\



Wed Oct 24 16:24:51 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Wed Oct 24 16:25:06 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\TVUPlayer\LIBCHFILE.DLL --> Eliminado, WinAntiVirus Pro 2006



Nº Total de Directorios: 5568

Nº Total de Ficheros: 51182

Nº de Ficheros Analizados: 14409

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Wed Mar 12 13:10:28 2008

EliStartPage v15.84 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Mar 12 13:10:31 2008

EliStartPage v15.84 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Furquet\Desktop\SmitfraudFix\REBOOT.EXE --> Eliminado, DollarRevenue (dldr)

C:\Program Files\Vissiv\VLC\plugins\LIBSTREAM_OUT_GATHER_PLUGIN.DLL --> Eliminado, AutoRun.IQ



Nº Total de Directorios: 8353

Nº Total de Ficheros: 63116

Nº de Ficheros Analizados: 16230

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

[msc hotline sat]

Prueba de registrar las DLL clásicas

Inicio -> Ejecutar :



regsvr32 softpub.dll

regsvr32 wintrust.dll

regsvr32 MSXML3.dll

regsvr32 initpki.dll



y si tras reiniciar persiste el problema, lanza este AVONLINE y nos posteas el resultado:

[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



saludos



ms, 12-3-2008

[juls]

Lo del registro de las dlls lo probñe ayer y no ha funcionado. Aquí está el informe del Kaspersky:



KASPERSKY ONLINE SCANNER INFORME

miércoles, 12 de marzo de 2008 22:28:58

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.98.0

Ultima actualización: 12/03/2008

Registros en la base antivirus: 625624





Configuración del análisis

Analizar usando las siguientes bases estendidas

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

C:\

E:\

F:\

G:\

H:\

I:\



Estadísticas

Número de objeros analizados 62915

Virus encontrados 4

Objetos infectados 7

Objetos sospechosos 0

Duración del análisis 01:34:00



Bombre del objeto infectado Nombre del virus Última acción

C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log Object is locked saltado



C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado



C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado



C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\Confid.log Object is locked saltado



C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\Content.log Object is locked saltado



C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\Privacy.log Object is locked saltado



C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\Restrict.log Object is locked saltado



C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\settings.dat Object is locked saltado



C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\WebHist.log Object is locked saltado



C:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\2008-03-12_Log.ALUSchedulerSvc.LiveUpdate Object is locked saltado



C:\Documents and Settings\All Users\Documents\Recorded TV\TempRec\TempSBE\MSDVRMM_674802988_262144_2822 Object is locked saltado



C:\Documents and Settings\All Users\Documents\Recorded TV\TempRec\TempSBE\MSDVRMM_674802988_64487424_5867 Object is locked saltado



C:\Documents and Settings\All Users\Documents\Recorded TV\TempRec\TempSBE\SBE1.tmp Object is locked saltado



C:\Documents and Settings\All Users\Documents\Recorded TV\TempRec\TempSBE\SBE2.tmp Object is locked saltado



C:\Documents and Settings\All Users\Documents\Recorded TV\TempRec\{8F3EC87B-9002-407A-A93A-82E00ED85C7B}.TmpSBE Object is locked saltado



C:\Documents and Settings\All Users\Documents\Recorded TV\TempRec\{E68DE60D-1724-48E5-A3A1-4CA508D36400}.TmpSBE Object is locked saltado



C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp Object is locked saltado



C:\Documents and Settings\All Users\DRM\drmstore.hds Object is locked saltado



C:\Documents and Settings\Furquet\Application Data\Mozilla\Firefox\Profiles\4ymdgeni.default\cert8.db Object is locked saltado



C:\Documents and Settings\Furquet\Application Data\Mozilla\Firefox\Profiles\4ymdgeni.default\history.dat Object is locked saltado



C:\Documents and Settings\Furquet\Application Data\Mozilla\Firefox\Profiles\4ymdgeni.default\key3.db Object is locked saltado



C:\Documents and Settings\Furquet\Application Data\Mozilla\Firefox\Profiles\4ymdgeni.default\parent.lock Object is locked saltado



C:\Documents and Settings\Furquet\Application Data\Mozilla\Firefox\Profiles\4ymdgeni.default\search.sqlite Object is locked saltado



C:\Documents and Settings\Furquet\Application Data\Mozilla\Firefox\Profiles\4ymdgeni.default\urlclassifier2.sqlite Object is locked saltado



C:\Documents and Settings\Furquet\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\Furquet\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe Infectados: not-a-virus:RiskTool.Win32.Reboot.f saltado



C:\Documents and Settings\Furquet\Desktop\SmitfraudFix.zip ZIP: infectado - 1 saltado



C:\Documents and Settings\Furquet\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\Furquet\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\Furquet\Local Settings\Application Data\Mozilla\Firefox\Profiles\4ymdgeni.default\Cache\_CACHE_001_ Object is locked saltado



C:\Documents and Settings\Furquet\Local Settings\Application Data\Mozilla\Firefox\Profiles\4ymdgeni.default\Cache\_CACHE_002_ Object is locked saltado



C:\Documents and Settings\Furquet\Local Settings\Application Data\Mozilla\Firefox\Profiles\4ymdgeni.default\Cache\_CACHE_003_ Object is locked saltado



C:\Documents and Settings\Furquet\Local Settings\Application Data\Mozilla\Firefox\Profiles\4ymdgeni.default\Cache\_CACHE_MAP_ Object is locked saltado



C:\Documents and Settings\Furquet\Local Settings\History\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Furquet\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado



C:\Documents and Settings\Furquet\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Furquet\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\Furquet\NTUSER.DAT.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\AntiSpam\Log\Spam.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SNDALRT.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SNDCON.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SNDDBG.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SNDFW.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SNDIDS.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SNDSYS.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBConfig.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBDebug.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBDetect.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBNotify.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBRefr.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBSetCfg.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBSetDev.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBSetLoc.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBSetUsr.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBStHash.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBStMSI.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBValid.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\SPPolicy.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\SPStart.log Object is locked saltado



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\SPStop.log Object is locked saltado



C:\Program Files\eMule\Temp\002.part Object is locked saltado



C:\Program Files\eMule\Temp\007.part Object is locked saltado



C:\Program Files\eMule\Temp\010.part Object is locked saltado



C:\Program Files\eMule\Temp\011.part Object is locked saltado



C:\Program Files\eMule\Temp\012.part Object is locked saltado



C:\Program Files\eMule\Temp\013.part Object is locked saltado



C:\Program Files\eMule\Temp\014.part Object is locked saltado



C:\Program Files\eMule\Temp\015.part Object is locked saltado



C:\Program Files\Norton Internet Security\Norton AntiVirus\AVApp.log Object is locked saltado



C:\Program Files\Norton Internet Security\Norton AntiVirus\AVError.log Object is locked saltado



C:\Program Files\Norton Internet Security\Norton AntiVirus\AVVirus.log Object is locked saltado



C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\36F4159A.tmp Infectados: Trojan-Proxy.Win32.Mitglieder.ei saltado



C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\4A326A8E.com Infectados: Backdoor.Win32.SdBot.bxr saltado



C:\Program Files\Norton Internet Security\Norton AntiVirus\Savrt\0195NAV~.TMP Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\WINDOWS\apdqnxp.dll Infectados: not-a-virus:AdWare.Win32.Vapsup.chf saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\dkxrstqgmp.dll Infectados: not-a-virus:AdWare.Win32.Vapsup.chf saltado



C:\WINDOWS\fqspogw.exe Infectados: not-a-virus:AdWare.Win32.Vapsup.chf saltado



C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{D2FEE5D7-8B0F-429E-9564-10802BD22B9E}.crmlog Object is locked saltado



C:\WINDOWS\SchedLgU.Txt Object is locked saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\Internet.evt Object is locked saltado



C:\WINDOWS\system32\config\Media Ce.evt Object is locked saltado



C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado



C:\WINDOWS\system32\config\OSession.evt Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado



C:\WINDOWS\system32\h323log.txt Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.

[msc hotline sat]

Objetos infectados 7



Pues envianos los ficheros que indica haber detectado infectados y TRAS ANALIZARLOS, PROCEDEREMOS A IMPLEMENTAR SU CONTROL Y ELIMINACION EN NUESTRAS UTILIDADES, DE LO CUAL INFORMAREMOS





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 13-3-2008

[juls]

No se que archivos debo enviar para analizar, puesto que en el reporte aparecen muchos más archivos y no dice cáules son los 7 infectados.

Gracias

[juls]

Perdon por el mail de antes-. He enviado los 7 archivos infectados en un rar con el nombre de VIRUS. Los he enviado desde una cuenta de Yahoo, ya que el hotmail no funciona. Gracias

[msc hotline sat]

Sí, no tenía tiempo para desglosarselos pero en el informe se indica "infectados" en cada uno de ellos, como ya ha visto.



Por otro lado he comprobado que ha llegado su RAR y en un preanalisis se han detectado varios downloaders, alguna herramienta de hacker potencialmente peligrosa, y alguna otra historia, que pasaremos a controlar o le indicaremos elimine segun proceda.



Entran en cola de monitorizacion para implementar su control y eliminacion en las proximas versiones de nuestras utilidades, de lo cual informaremos



saludos



ms, 13-3-2008

[msc hotline sat]

De los ficheros que nos envia, el REBOOT.EXE ya lo controla el ELISTARA, como ha visto y eliminado en :




[quote]Wed Mar 12 13:10:31 2008

EliStartPage v15.84 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Furquet\Desktop\SmitfraudFix\REBOOT.EXE --> Eliminado, DollarRevenue (dldr)[/quote]

NO sé si es que pasó antes el indicado antivirus ONLINE o es que algo lo regenera, pero ya está controlado.



Y por cierto que está en una carpeta C:\Documents and Settings\Furquet\Desktop\SmitfraudFix\ , que no es una utilidad de este foro, asi que Vd sabrá lo que utiliza ... !



Como otro de los ficheros que nos envia que justamente es el SmitfraudFix.zip ... , sin comentarios !



Otros ficheros con downloaders pasaremos a controlarlos con el ELISTARA de hoy, 15.86. A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 13-3-2008

[juls]

Lo del smitfraud es culpa mia. Una utilidad que me recomendaron en otro foro. Reboot.exe parece que se regenera, como lo controlo?. que hago con el resto de archivos infectados?

gracias

[msc hotline sat]

No será de esta historia del smitfraud ???



Si es por el downloader que estamos monitorizando, ya lo contemplará la nueva version del ELISTARA.



saludos



ms, 13-3-2008

[msc hotline sat]

Y sobre las dos muestras una .TMP y otra .COM son ficheros de la carpeta de cuarentena, ya fuera de circulacion, eliminela.



Son restos de Bagle y de SDBOT que ha dejado allí el antivirus que usa, pero ya están inactivos . Supongo que ya sabe que los tuvo...



Sobre los otros downloaders, pasamos a identificarlos como Adware Agent BN con el ELISTARA de hoy.



saludos



ms, 13-3-2008

[juls]

Muchas gracias. He eliminado la carpeta de Smitfraud¿con eso servira?¿entonces tengo que esperar a final del día para pasar el elistara? ¿Todos estos problemas tienen algo que ver con que no me funcione el msn y no tenga acceso a hotmail? He leido que mucha gente está con el mismo problema de no poder acceder a hotmail o no poder conectarse a msn.

Gracias.

[msc hotline sat]

Tras probar dicha nueva version del ELISTARA, a partir de las 19 h (v15.86), reinicie y pruebe si le funciona ol no el MSN, y en funcion de ello se obrará en consecuencia-



saludos



ms, 13-3-2008

[juls]

Parece ser que ya funciona el msn. Aqui dejo el log de elistara. muchas gracias.





Tue Sep 04 18:50:06 2007

EliStartPage v14.56 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Sep 04 18:58:19 2007

EliStartPage v14.56 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)



Tue Sep 04 18:58:25 2007

EliStartPage v14.56 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\ReinstallBackups\0012\DriverFiles\ALCMTR.EXE --> Eliminado, SpyRealtek



Thu Sep 13 13:51:00 2007

EliStartPage v14.56 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminados Ficheros Temporales del IE



Thu Sep 13 13:51:28 2007

EliStartPage v14.56 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Thu Sep 13 14:09:37 2007

EliStartPage v14.56 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Thu Sep 13 14:09:38 2007

EliStartPage v14.56 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Sep 16 18:30:16 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Sun Sep 16 18:30:22 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Sep 16 18:35:08 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Sun Sep 16 18:35:11 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Sun Sep 16 18:35:14 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Sun Sep 16 18:35:16 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Sun Sep 16 18:35:25 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad I:\



Wed Oct 24 16:24:51 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Wed Oct 24 16:25:06 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\TVUPlayer\LIBCHFILE.DLL --> Eliminado, WinAntiVirus Pro 2006



Nº Total de Directorios: 5568

Nº Total de Ficheros: 51182

Nº de Ficheros Analizados: 14409

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Wed Mar 12 13:10:28 2008

EliStartPage v15.84 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Mar 12 13:10:31 2008

EliStartPage v15.84 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Furquet\Desktop\SmitfraudFix\REBOOT.EXE --> Eliminado, DollarRevenue (dldr)

C:\Program Files\Vissiv\VLC\plugins\LIBSTREAM_OUT_GATHER_PLUGIN.DLL --> Eliminado, AutoRun.IQ



Nº Total de Directorios: 8353

Nº Total de Ficheros: 63116

Nº de Ficheros Analizados: 16230

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Wed Mar 12 14:33:43 2008

EliTriIP v4.48 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Mar 12 14:33:44 2008

EliTriIP v4.48 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8342

Nº Total de Ficheros: 62896

Nº de Ficheros Analizados: 14486

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Mar 12 15:03:46 2008

EliTriIP v4.48 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8342

Nº Total de Ficheros: 62793

Nº de Ficheros Analizados: 14486

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Mar 14 00:28:29 2008

EliStartPage v15.86 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 14 00:28:40 2008

EliStartPage v15.86 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8347

Nº Total de Ficheros: 62824

Nº de Ficheros Analizados: 16145

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues si bien celebramos que se haya solucionado el problema, creemos que algo mas se hizo antes de probar el ultimo ELISTARA 15.86, pues los tres ficheros con el malware indicado por el testeo ONLINE no se detectaron ... ???, mientras que antes estaban.



C:\WINDOWS\apdqnxp.dll Infectados: not-a-virus:AdWare.Win32.Vapsup.chf saltado



C:\WINDOWS\dkxrstqgmp.dll Infectados: not-a-virus:AdWare.Win32.Vapsup.chf saltado



C:\WINDOWS\fqspogw.exe Infectados: not-a-virus:AdWare.Win32.Vapsup.chf saltado



Le pedimos por ello que vuelva a pasar el AVONLINE de kaspersky para comprobar si ya no los detecta, o por el contrario, si algo los ha escondido de la verificacion del elistara y aun están en su ordenador, para poder obrar en consecuencia


[quote][url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, o indicando la utilidad a probar para solucionarlo.[/quote]

Aunque ya tenga conexion y demas, veamos que no le queden estos tres malwares, que podrían ocasionar futuras descargas indeseadas y demás...



saludos



ms, 14-03-2008