pc infectado con Downloader.ConHook y mas (SOLUCIONADO)

victoriaMA · Mensaje por **victoriaMA** » 16 Mar 2008, 22:50

hola a tod@s

mi pc va muy lento y a veces se me desconecta el antivirus, al pasar el elistara y el elitrip me ha encontarado algunas cosas y muestras que os voy a mandar

os pego el infosat a continuacion

Sun Mar 16 22:02:27 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\JKKIJJJ] -> C:\WINDOWS\SYSTEM32\jkkijjj.dll

Entrada Eliminada [HKLM\...\Run] "70b41698"="rundll32.exe "C:\WINDOWS\system32\rnrhwhip.dll",b" (Vundo)

Entrada Eliminada [HKLM\...\Run] "BM73872504"="Rundll32.exe "C:\WINDOWS\system32\ktjpramk.dll",s" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\JKKIJJJ.DLL.Muestra EliStartPage v15.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JKKIJJJ.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\RNRHWHIP.DLL.Muestra EliStartPage v15.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\RNRHWHIP.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\KTJPRAMK.DLL.Muestra EliStartPage v15.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KTJPRAMK.DLL --> Renombrado a .VIR

C:\WINDOWS\PSKT.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "CNBVQ"="c:\documents and settings\ángel y victoria\configuración local\datos de programa\cnbvq.exe cnbvq"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sun Mar 16 22:03:48 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Mar 16 22:09:33 2008

EliTriIP v4.51 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NTSPOOL.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "Update Service"="C:\ARCHIV~1\ARCHIV~1\TEKNUM~1\update.exe /startup"

Sun Mar 16 22:09:48 2008

EliTriIP v4.51 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Mar 16 22:17:02 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\JKKIJJJ] -> C:\WINDOWS\SYSTEM32\jkkijjj.dll

Entrada Eliminada [HKLM\...\Run] "BM73872504"="Rundll32.exe "C:\WINDOWS\system32\xkfujnpf.dll",s" (Vundo)

[WinLogon\Notify\JKKIJJJ]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\JKKIJJJ.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\JKKIJJJ.DLL.Muestra EliStartPage v15.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JKKIJJJ.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\XKFUJNPF.DLL.Muestra EliStartPage v15.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XKFUJNPF.DLL --> Eliminado

Eliminado Servicio, "mchInjDrv"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Downloader.ConHook

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sun Mar 16 22:23:10 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\JKKIJJJ] -> C:\WINDOWS\SYSTEM32\jkkijjj.dll

[WinLogon\Notify\JKKIJJJ]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\JKKIJJJ.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\JKKIJJJ.DLL.Muestra EliStartPage v15.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JKKIJJJ.DLL --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Downloader.ConHook

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sun Mar 16 22:27:55 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\JKKIJJJ] -> C:\WINDOWS\SYSTEM32\jkkijjj.dll

Por favor, envienos una muestra del fichero

C:\Muestras\JKKIJJJ.DLL.Muestra EliStartPage v15.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JKKIJJJ.DLL --> Acceso Denegado.

Sun Mar 16 22:28:05 2008

EliTriIP v4.51 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Downloader.ConHook

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sun Mar 16 22:29:51 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\JKKIJJJ] -> C:\WINDOWS\SYSTEM32\jkkijjj.dll

Por favor, envienos una muestra del fichero

C:\Muestras\JKKIJJJ.DLL.Muestra EliStartPage v15.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JKKIJJJ.DLL --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Downloader.ConHook

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\jkkijjj.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\JKKIJJJ"

Desinstalado EliNotif.dll

Sun Mar 16 22:33:54 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Mar 16 22:34:02 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Mar 16 22:41:02 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\SSQPONN] -> C:\WINDOWS\SYSTEM32\ssqponn.dll

Por favor, envienos una muestra del fichero

C:\Muestras\SSQPONN.DLL.Muestra EliStartPage v15.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSQPONN.DLL --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Mensaje por **lucl** » 16 Mar 2008, 23:00

Te dejo el link del modo de envio, y estate atenta al post mañana que te diran algo, saludos

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

victoriaMA · Mensaje por **victoriaMA** » 16 Mar 2008, 23:08

hola lucl,

ya he intentado enviar las muestra pero he tenido un problema, hotmail no me deja enviar 3 de las 5 mustras ni siquiera comprimiendolas. ¿como las puedo enviar?

Mensaje por **msc hotline sat** » 17 Mar 2008, 05:12

Empaquetalas en un ZIP o RAR con password VIRUS, como indicamos en :

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 17-03-2008

victoriaMA · Mensaje por **victoriaMA** » 17 Mar 2008, 16:55

hola

ya os he enviado las muestras

he tenido un problema con el hotmail, pero creo que ya lo solucione.

espero vuestras respuestas,

saludos

Mensaje por **msc hotline sat** » 17 Mar 2008, 18:40

Recibidas las muestras, pasamos a controlarlas como VUNDO 5 con el ELISTARA 15.88 de hoy

En pocos minutos acabaremos la compilacion y lo subiremos a esta web para pruebas de evaluacion. Tras descargarlo y probarlo, postesnos el infosat,txtm gracias

saludos

ms, 17-03-2008

Mensaje por **msc hotline sat** » 17 Mar 2008, 18:40

Recibidas las muestras, pasamos a controlarlas como VUNDO 5 con el ELISTARA 15.88 de hoy

En pocos minutos acabaremos la compilacion y lo subiremos a esta web para pruebas de evaluacion. Tras descargarlo y probarlo, postesnos el infosat.txt, gracias

saludos

ms, 17-03-2008

victoriaMA · Mensaje por **victoriaMA** » 17 Mar 2008, 18:59

hola

muchas gracias

a la espera de la aplicacion os pego mi log del hijackthis por si hay que hacer algo mas

Logfile of HijackThis v1.99.1

Scan saved at 17:21:24, on 17/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\PopUp Killer\popupkiller.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Spyware Doctor\pctsTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe

C:\Archivos de programa\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\ARCHIV~1\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Documents and Settings\Ángel y Victoria\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 62.75.224.159 http://www.bns3.net

O1 - Hosts: 62.75.224.159 http://www.bns4.net

O1 - Hosts: 62.75.224.159 http://www.bns5.net

O1 - Hosts: 62.75.224.159 http://www.bns6.net

O1 - Hosts: 62.75.224.159 http://www.bns7.net

O1 - Hosts: 62.75.224.159 http://www.bns8.net

O1 - Hosts: 62.75.224.159 http://www.cms3.net

O1 - Hosts: 62.75.224.159 http://www.cms4.net

O1 - Hosts: 62.75.224.159 http://www.cms5.net

O1 - Hosts: 62.75.224.159 http://www.cms6.net

O1 - Hosts: 62.75.224.159 http://www.cms7.net

O1 - Hosts: 62.75.224.159 http://www.cms8.net

O1 - Hosts: 62.75.224.159 http://www.rg1.com

O1 - Hosts: 62.75.224.159 http://www.rg2.com

O1 - Hosts: 62.75.224.159 http://www.rg3.com

O1 - Hosts: 62.75.224.159 http://www.rg4.com

O1 - Hosts: 62.75.224.159 http://www.rg5.com

O1 - Hosts: 62.75.224.159 http://www.rg6.com

O1 - Hosts: 62.75.224.159 http://www.rg7.com

O1 - Hosts: 62.75.224.159 http://www.rg8.com

O1 - Hosts: 62.75.224.159 bns3.net

O1 - Hosts: 62.75.224.159 bns4.net

O1 - Hosts: 62.75.224.159 bns5.net

O1 - Hosts: 62.75.224.159 bns6.net

O1 - Hosts: 62.75.224.159 bns7.net

O1 - Hosts: 62.75.224.159 bns8.net

O1 - Hosts: 62.75.224.159 cms3.net

O1 - Hosts: 62.75.224.159 cms4.net

O1 - Hosts: 62.75.224.159 cms5.net

O1 - Hosts: 62.75.224.159 cms6.net

O1 - Hosts: 62.75.224.159 cms7.net

O1 - Hosts: 62.75.224.159 cms8.net

O1 - Hosts: 62.75.224.159 rg1.com

O1 - Hosts: 62.75.224.159 rg2.com

O1 - Hosts: 62.75.224.159 rg3.com

O1 - Hosts: 62.75.224.159 rg4.com

O1 - Hosts: 62.75.224.159 rg5.com

O1 - Hosts: 62.75.224.159 rg6.com

O1 - Hosts: 62.75.224.159 rg7.com

O1 - Hosts: 62.75.224.159 rg8.com

O1 - Hosts: 62.75.224.159 http://www.m7z.net

O1 - Hosts: 62.75.224.159 m7z.net

O1 - Hosts: 62.75.224.159 jcontent.bns1.m7z.net

O1 - Hosts: 62.75.224.159 2004CMS.com

O1 - Hosts: 62.75.224.159 bns1.m7z.net

O1 - Hosts: 62.75.224.159 client.exeem.com

O1 - Hosts: 62.75.224.159 exeem.com

O1 - Hosts: 62.75.224.159 http://www.exeem.com

O2 - BHO: Zero Popup - {2EF37A01-884F-11d5-AC99-B112050ECB4F} - C:\ARCHIV~1\ZEROPO~1\ZERO-P~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {A18C2F24-8FD5-4067-9D74-93904D0B4087} - C:\WINDOWS\system32\ssqponn.dll (file missing)

O2 - BHO: {5a8ef8a9-5d39-c8db-1734-4ecc1b57411b} - {b11475b1-cce4-4371-bd8c-93d59a8fe8a5} - C:\WINDOWS\system32\ohbyowcc.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O2 - BHO: (no name) - {C2AF53A0-ECE9-4F83-9F45-B22138D42E46} - C:\WINDOWS\system32\sstqn.dll (file missing)

O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Archivos de programa\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Archivos de programa\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [PopUpKiller] C:\Archivos de programa\PopUp Killer\popupkiller.EXE

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ISTray] "C:\Archivos de programa\Spyware Doctor\pctsTray.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203974087968

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203974044703

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BA4FDD97-8B19-464D-9D7D-6556218BDFE4}: NameServer = 212.0.114.244,212.230.255.129

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

saludos

Mensaje por **msc hotline sat** » 17 Mar 2008, 19:17

Vamos a ver donde lleva esta IP: 62.75.224.159

[quote]62.75.224.159 DE Germany 51.0000 9.0000 intergenia AG SERVER4YOU Dedicated Server Hosting [/quote]

Es un Hosting aleman que puede ser utilizado maliciosamente por algun cliente que le interese redirigir el trafico a traves de su parcela...

Elimina estas claves:

O1 - Hosts: 62.75.224.159 http://www.bns3.net

O1 - Hosts: 62.75.224.159 http://www.bns4.net

O1 - Hosts: 62.75.224.159 http://www.bns5.net

O1 - Hosts: 62.75.224.159 http://www.bns6.net

O1 - Hosts: 62.75.224.159 http://www.bns7.net

O1 - Hosts: 62.75.224.159 http://www.bns8.net

O1 - Hosts: 62.75.224.159 http://www.cms3.net

O1 - Hosts: 62.75.224.159 http://www.cms4.net

O1 - Hosts: 62.75.224.159 http://www.cms5.net

O1 - Hosts: 62.75.224.159 http://www.cms6.net

O1 - Hosts: 62.75.224.159 http://www.cms7.net

O1 - Hosts: 62.75.224.159 http://www.cms8.net

O1 - Hosts: 62.75.224.159 http://www.rg1.com

O1 - Hosts: 62.75.224.159 http://www.rg2.com

O1 - Hosts: 62.75.224.159 http://www.rg3.com

O1 - Hosts: 62.75.224.159 http://www.rg4.com

O1 - Hosts: 62.75.224.159 http://www.rg5.com

O1 - Hosts: 62.75.224.159 http://www.rg6.com

O1 - Hosts: 62.75.224.159 http://www.rg7.com

O1 - Hosts: 62.75.224.159 http://www.rg8.com

O1 - Hosts: 62.75.224.159 bns3.net

O1 - Hosts: 62.75.224.159 bns4.net

O1 - Hosts: 62.75.224.159 bns5.net

O1 - Hosts: 62.75.224.159 bns6.net

O1 - Hosts: 62.75.224.159 bns7.net

O1 - Hosts: 62.75.224.159 bns8.net

O1 - Hosts: 62.75.224.159 cms3.net

O1 - Hosts: 62.75.224.159 cms4.net

O1 - Hosts: 62.75.224.159 cms5.net

O1 - Hosts: 62.75.224.159 cms6.net

O1 - Hosts: 62.75.224.159 cms7.net

O1 - Hosts: 62.75.224.159 cms8.net

O1 - Hosts: 62.75.224.159 rg1.com

O1 - Hosts: 62.75.224.159 rg2.com

O1 - Hosts: 62.75.224.159 rg3.com

O1 - Hosts: 62.75.224.159 rg4.com

O1 - Hosts: 62.75.224.159 rg5.com

O1 - Hosts: 62.75.224.159 rg6.com

O1 - Hosts: 62.75.224.159 rg7.com

O1 - Hosts: 62.75.224.159 rg8.com

O1 - Hosts: 62.75.224.159 http://www.m7z.net

O1 - Hosts: 62.75.224.159 m7z.net

O1 - Hosts: 62.75.224.159 jcontent.bns1.m7z.net

O1 - Hosts: 62.75.224.159 2004CMS.com

O1 - Hosts: 62.75.224.159 bns1.m7z.net

O1 - Hosts: 62.75.224.159 client.exeem.com

O1 - Hosts: 62.75.224.159 exeem.com

O1 - Hosts: 62.75.224.159 http://www.exeem.com

O2 - BHO: (no name) - {A18C2F24-8FD5-4067-9D74-93904D0B4087} - C:\WINDOWS\system32\ssqponn.dll (file missing)

O2 - BHO: (no name) - {C2AF53A0-ECE9-4F83-9F45-B22138D42E46} - C:\WINDOWS\system32\sstqn.dll (file missing)

O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)

Y envianos muestra de este fichero para analizar:

C:\WINDOWS\system32\ohbyowcc.dll

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

y tras recibirlo y analizarlo, informaremos

saludos

ms, 17-3-2008

victoriaMA · Mensaje por **victoriaMA** » 17 Mar 2008, 21:19

hola

ya he eliminado las claves y pasado el elitara

aqui os pongo el infosat

Mon Mar 17 21:01:27 2008

EliStartPage v15.88 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{A18C2F24-8FD5-4067-9D74-93904D0B4087}" -> C:\WINDOWS\system32\ssqponn.dll

Eliminados Ficheros Temporales del IE

Mon Mar 17 21:01:58 2008

EliStartPage v15.88 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

la muestra pedida:

C:\WINDOWS\system32\ohbyowcc.dll

no la puedo enviar porque no la encuentro.

saludos

Mensaje por **msc hotline sat** » 17 Mar 2008, 21:24

eNTONCES ELIMINA LA CLAVE:

O2 - BHO: {5a8ef8a9-5d39-c8db-1734-4ecc1b57411b} - {b11475b1-cce4-4371-bd8c-93d59a8fe8a5} - C:\WINDOWS\system32\ohbyowcc.dll

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

y tras reiniciar nos indicas si persiste alguna anomalia o ya podemos dar poor solucionado el Tema, gracias

saludos

sm, 17-03-2008

victoriaMA · Mensaje por **victoriaMA** » 18 Mar 2008, 11:10

hola

la clave que me pedis borrar no aparece ya en el hijackthis

pero de momento no he notado nada raro ahora.

gracias por todo

saludos

Mensaje por **msc hotline sat** » 18 Mar 2008, 11:19

Pues estaba en el log que nos posteaste:

O1 - Hosts: 62.75.224.159 client.exeem.com

O1 - Hosts: 62.75.224.159 exeem.com

O1 - Hosts: 62.75.224.159 http://www.exeem.com

O2 - BHO: Zero Popup - {2EF37A01-884F-11d5-AC99-B112050ECB4F} - C:\ARCHIV~1\ZEROPO~1\ZERO-P~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {A18C2F24-8FD5-4067-9D74-93904D0B4087} - C:\WINDOWS\system32\ssqponn.dll (file missing)

~~[b]~~[i]O2 - BHO: {5a8ef8a9-5d39-c8db-1734-4ecc1b57411b} - {b11475b1-cce4-4371-bd8c-93d59a8fe8a5} - C:\WINDOWS\system32\ohbyowcc.dll[/i][/b]

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O2 - BHO: (no name) - {C2AF53A0-ECE9-4F83-9F45-B22138D42E46} - C:\WINDOWS\system32\sstqn.dll (file missing)

O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Archivos de programa\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

Pero si ya no está, y asi va bien, damos por solucionado el Tema, y procedemos a cerrarlo

saludos

ms, 18-03-2008

Mensaje por **msc hotline sat** » 25 Mar 2008, 11:24

Recibidas las muestras solicitadas, resultan ser nuevas variantes del VUNDO5, que pasamos a implementar en el ELISTARA de hoy 15.91

A partir de las 19 h de hoy subiremos dicha version a esta web, para pruebas de evaluacion en el foro de zonavirus

Damos el Tema por solucionado y procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 25-03-2008

pc infectado con Downloader.ConHook y mas (SOLUCIONADO)

pc infectado con Downloader.ConHook y mas (SOLUCIONADO)

Re: pc infectado con Downloader.ConHook y mas

Re: pc infectado con Downloader.ConHook y mas

Re: pc infectado con Downloader.ConHook y mas

Re: pc infectado con Downloader.ConHook y mas

Re: pc infectado con Downloader.ConHook y mas

Re: pc infectado con Downloader.ConHook y mas

Re: pc infectado con Downloader.ConHook y mas

Re: pc infectado con Downloader.ConHook y mas

Re: pc infectado con Downloader.ConHook y mas

Re: pc infectado con Downloader.ConHook y mas

Re: pc infectado con Downloader.ConHook y mas

Re: pc infectado con Downloader.ConHook y mas

Re: pc infectado con Downloader.ConHook y mas (SOLUCIONADO)