Se detecto un Spyware....

[Edjimen]

Pos me sale un mensaje que dice que se detecto un spyware y no se que mas... y el mensaje según dicen es de Windows cosa que dudo muchisimo, ya que pienso que es el propio virus o troyano quien me envía el mensaje para que descargue unos programas. El Kaspersky me detecta un troyano-->trojan-Dropper.win32.agent.fwj

[mikmatcr]

Primero que todo pasa estas utilidades:

Elistara: http://www.zonavirus.com/descargas/elistara.asp



Elitrip: http://www.zonavirus.com/descargas/elitriip.asp



Y posteas el infosat.txt que se te guarda en C:\

[Edjimen]

Fri Mar 14 19:07:11 2008

EliTriIP v4.51 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8003

Nº Total de Ficheros: 92628

Nº de Ficheros Analizados: 22905

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Mar 14 19:20:07 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Detectado AUTORUN.INF en la Unidad (J)

OPEN=AUTORUN.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Mar 14 19:20:08 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8012

Nº Total de Ficheros: 92283

Nº de Ficheros Analizados: 25407

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Pues envianos la muestra para que podamos darte la solucion, sigue las instrucciones del link





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





ademas puedes subirlo a virustotal y pegarnos el resultado, saludos



http://www.virustotal.com

[msc hotline sat]

Posiblemente lo tengas en un pendrive, ya que la unidad donde lo detectaste era la J:



Detectado AUTORUN.INF en la Unidad (J)

OPEN=AUTORUN.exe





Envianos los dos ficheros, el AUTORUN.INF Y EL AUTORUN.EXE, de la forma que indica lucl, gracias.



saludos



ms, 14.3.2008

[Edjimen]

Ya os envié lo que me dice Kaspersky que es el troyano y los dos archivos que me habéis dicho. Os lo e enviado en e-mails separados.



PD: Virus total me dice que es un archivo que esta vació o algo así, cuando le subo el ytroyano.

[lucl]

Bueno tu tranquilo que como el lunes lo analizaran ya sabremos si esta vacio o no, estate atento al foro que te diran algo, saludos

[Edjimen]

Ya de paso use el hijackthis en modo seguro, les pego el log.



Logfile of HijackThis v1.99.1

Scan saved at 19:38:53, on 15/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Usuario\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: GNX Rolex - {864C6115-9FB8-46F9-9E8C-157F4F6FCCA3} - C:\WINDOWS\drnpfdxrqv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)

O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} - mscoree.dll (file missing)

O3 - Toolbar: etlrlws - {FD858878-29E2-4129-831C-06A61C344E15} - C:\WINDOWS\etlrlws.dll

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE

O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.13\AMVConverter\grab.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.13\MediaManager\grab.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Estadísticas del componente Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll

O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL

O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O11 - Options group: [INTERNATIONAL] International*

O18 - Protocol: bw+0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw+0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: bwg0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwg0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0s - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: offline-8876480 - {B865A0F1-B477-4E33-8E8A-AFB0B49DD27E} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: altvxvm - {04623164-B8BD-40FE-A79A-53D3975CD98E} - C:\WINDOWS\altvxvm.dll

O21 - SSODL: bokpkov - {47F0912B-CB57-447B-A1CA-2645F166CAE3} - C:\WINDOWS\bokpkov.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

[msc hotline sat]

No indicas cuales son los que indica kaspersky infectados, pero comprueba con botin derecho sobre ellos a ver si tienen tamaño, pues si lo tienes con 0 bytes, ya poco te puede molestar , pero si no es asi, repite el envio, recordando empaquetarlo con password VIRUS:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y aparte de los indicados, envianos estos otros





C:\WINDOWS\drnpfdxrqv.dll



C:\WINDOWS\etlrlws.dll



C:\WINDOWS\altvxvm.dll



C:\WINDOWS\bokpkov.dll





Tras analizarlos, informaremos



saludos



ms, 16-03-2008

[Edjimen]

Bueno ahora os lo envió todo otra vez ha excepcion de lo que me detecta Kaspersky, por que hasta que no me lo detecta no se donde esta, lo elimino pero siempre vuelve a aparecer en otro sitio.



Por cierto le e dado aceptar lo del mensaje y se me abría una ventana del IE. Pongo el enlace o no?

[Edjimen]

Bueno ya os enviado todo lo que me pediais a excepcion de



etlrlws.dll que no lo logro encontrar.

Y el troyano que me encuentra Kaspersky.



PD: Aca les dejo una imagen con lo que me dice que encuentra Kaspersky.



[img]http://i28.tinypic.com/qy8hm1.jpg[/img]

[msc hotline sat]

Pues mire que este que no encuentra no sea un fichero oculto...



"[b][i]etlrlws.dll que no lo logro encontrar.

Y el troyano que me encuentra Kaspersky.[/i][/b]"



y el que le elimina kaspersky , ya que se le regenera, envienoslo antes de que se lo elimine, claro. (desinstale el kaspersky para ello si es necesario)



y recuerde:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 17-3-2008

[msc hotline sat]

Detectadas tres nuevas variantes de Adware.Agent.BN en las muestras recibidas al respecto



Se implementa su control y eliminacion en el ELISTARA de hoy 15.88



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 17-03-2008

[Edjimen]

Muchas gracias por las molestias que se están tomando.



Bueno Kaspersky ya me encontro el troyano, ahora os lo envio.

Y el etlrlws.dll no lo encuentro, e arrancado en modo seguro y desocultando las cosas y nada. Posiblemente S&D, Ad-awre o Kaspersky lo habran elminado si fuera un bicho.



El archivo con el troyano se llama A0055757.rar

[msc hotline sat]

Pues este otro, si lo encuentra por alguna parte, envienoslo para analizar, pues indican que es un malware:



http://www.castlecops.com/tk43004-etlrlws.html



y en cuanto recibamos la muestra, la analizaremos e informaremos



saludos



ms, 17-03-2008

[Edjimen]

Bueno le dejo el informe del elistara





Mon Mar 17 19:03:38 2008

EliStartPage v15.88 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\DRNPFDXRQV.DLL --> Eliminado AdWare.Agent.BN(BHO)

C:\WINDOWS\ALTVXVM.DLL --> AdWare.Agent.BN Renombrado a .VIR

C:\WINDOWS\BOKPKOV.DLL --> AdWare.Agent.BN Renombrado a .VIR

C:\Documents and Settings\Usuario\Favoritos\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Usuario\Favoritos\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Usuario\Favoritos\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

Eliminada Class, "{864C6115-9FB8-46F9-9E8C-157F4F6FCCA3}" -> C:\WINDOWS\drnpfdxrqv.dll

Eliminada Class, "{04623164-B8BD-40FE-A79A-53D3975CD98E}" -> C:\WINDOWS\altvxvm.dll

Eliminada Class, "{47F0912B-CB57-447B-A1CA-2645F166CAE3}" -> C:\WINDOWS\bokpkov.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Mon Mar 17 19:06:48 2008

EliStartPage v15.88 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8001

Nº Total de Ficheros: 92192

Nº de Ficheros Analizados: 25386

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Mar 17 19:21:55 2008

EliStartPage v15.88 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{A48923EC-954C-49B5-B6D4-45EB7554CFE7}" -> C:\WINDOWS\altvxvm.dll

Eliminada Class, "{7DBF3456-DE6B-4BF2-AD12-893A5157119D}" -> C:\WINDOWS\bokpkov.dll



Mon Mar 17 19:22:06 2008

EliStartPage v15.88 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7981

Nº Total de Ficheros: 91922

Nº de Ficheros Analizados: 25384

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



PD: E borrado lo de la limpeza del HOST porque ocupaba mucho.

[lucl]

Y el trojano que te detecto kapersky lo enviaste y? Si es asi confirmanoslo gracias, saludos

[Edjimen]

[quote="lucl"]Y el trojano que te detecto kapersky lo enviaste y? Si es asi confirmanoslo gracias, saludos[/quote]

Si, lo envie este mediodia



El archivo se llama así--> A0055757.rar

[msc hotline sat]

llegó tarde la info :wink:



Ya no puedo saber si ha llegado a tiempo para ser controlada, pero prueba la version de hoy del ELISTARA y nos posteas el nuevo infosat, para saberlo



y sino, lo vemos mañana



saludos



ms, 17-03-2008

[msc hotline sat]

Veo que ya ha probado la version de hoy, 15.88, entonces tras reiniciar comentenos si persiste algun problema, o si ya podemos dar por solucionado el Tema



saludos



ms, 17-03-2008

[Edjimen]

Bueno, parece solucionado.



Muchas gracias a todos ^^

[msc hotline sat]

Pues lo celebramos y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



Esta tarde subiremos nueva version ELISTARA 15.89 que controlará la muestra que nos ha enviado.



saludos



ms, 18-03-2008