MENSAJE YOUR COMPUTER IS INFECTED Y ... (SOLUCIONADO)

[uz42971]

Hola amigos. Mi problema es que se me ha abierto un simbolo x en la barra inferior del escritorio y sale constantemente el mensaje "Your computer is infected". También al navegar salen de vez en cuando pags webs no deseadas que me invaden el audio. He pasado el AGV, El Elistar y el Elitrip que eliminan algunas cosas pero el prblema sigue. Os adjunto el hijack y el infosat a ver si me podeis ayudar. Muchas Gracias de antemano



Logfile of HijackThis v1.99.1

Scan saved at 0:00:27, on 17/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\braviax.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Zonavirus\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telefonica.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [TrojanScanner] F:\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O4 - Global Startup: Adobe Acrobat Synchronizer.lnk = C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe

O4 - Global Startup: BlueSoleil.lnk = ?

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Append to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{7EF8BA83-03BF-4B48-98BE-B4D0863A7932}: NameServer = 80.58.61.250 80.58.61.254

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: BootSrv - {df1bb8da-81b7-4342-a11b-f3884a6c25e0} - C:\WINDOWS\Installer\{df1bb8da-81b7-4342-a11b-f3884a6c25e0}\BootSrv.dll

O21 - SSODL: zip - {186bf492-b4ca-4f60-8c98-c37eb5a76c09} - C:\WINDOWS\Installer\{186bf492-b4ca-4f60-8c98-c37eb5a76c09}\zip.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe











Fri Mar 14 22:14:18 2008

EliBagle v11.11 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Mar 14 22:14:28 2008

EliBagle v11.11 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2541

Nº Total de Ficheros: 27115

Nº de Ficheros Analizados: 4745

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Fri Mar 14 22:20:52 2008

EliBagle v11.11 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Mar 14 22:20:56 2008

EliBagle v11.11 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2663

Nº Total de Ficheros: 30650

Nº de Ficheros Analizados: 7149

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Mar 15 12:42:04 2008

EliBagle v11.11 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sat Mar 15 12:42:07 2008

EliBagle v11.11 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2372

Nº Total de Ficheros: 29396

Nº de Ficheros Analizados: 6650

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Mar 16 08:23:02 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\ANTIVIIRUS.EXE --> Eliminado Dropper.Agent.FTU

Entrada Eliminada [HKLM\...\Run] "ANTIVIIRUS"="C:\Archivos de programa\antiviirus.exe"

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Mar 16 11:09:44 2008

EliTriIP v4.51 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Mar 16 11:09:49 2008

EliTriIP v4.51 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Telefonica\KitAIM\InstaladoresUsb1.5\Comtrend2\IPoA\AUTORUN.INF --> Eliminado, BackDoor.CMQ(inf)

C:\Archivos de programa\Telefonica\KitAIM\InstaladoresUsb1.5\Comtrend2\PPPoE\AUTORUN.INF --> Eliminado, BackDoor.CMQ(inf)

C:\WINDOWS\Samsung\ML-1610\AUTORUN.INF --> Eliminado, BackDoor.CMQ(inf)



Nº Total de Directorios: 2402

Nº Total de Ficheros: 30089

Nº de Ficheros Analizados: 12753

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Sun Mar 16 11:25:08 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Sun Mar 16 11:25:36 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 643

Nº Total de Ficheros: 5382

Nº de Ficheros Analizados: 1762

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Sun Mar 16 11:26:37 2008

EliTriIP v4.51 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Mar 16 11:27:00 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Sun Mar 16 11:27:13 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Codec Pack de ELISOFT\divx511\FSG_4104.EXE --> Eliminado, Gator Gain

C:\Disco extraíble (E)\AUTORUN.INF --> Eliminado, Dialupass(inf)

C:\WINDOWS\BOKPKOV.DLL --> Eliminado, AdWare.Agent.BN

C:\WINDOWS\system32\UNIVRS32.DAT --> Acceso Denegado, AdWare.Agent.ZO (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 2397

Nº Total de Ficheros: 29238

Nº de Ficheros Analizados: 13396

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 3



Sun Mar 16 11:40:18 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Mar 16 11:40:30 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\UNIVRS32.DAT.VIR --> Eliminado, AdWare.Agent.ZO



Nº Total de Directorios: 2397

Nº Total de Ficheros: 29235

Nº de Ficheros Analizados: 13393

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Pues envianos este fochero sospechoso para analizarlo:



C:\WINDOWS\system32\braviax.exe



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y de momento renombra dicho fichero a extension .VIR y dinos si tras reiniciar persiste el problema, en cuyo caso ademas de analizar dicho fichero veriamos si hay algo mas con el SPROCES, pero tiempo al tiempo...



saludos



ms, 17-03-2008

[uz42971]

He renombrado el fichero y el problema parece haber desaparecido. Muchas Gracias amigos. Abusando de vuestra amabilidad voy a postearos en otro mensaje un problema de virus con otro ordenador.

[msc hotline sat]

Sí, pero el fichero renombrado envianoslo igualmente para que pasemos a controlarlo en la proxima version del ELISTARA, gracias



saludos



ms, 24-03-2008

[msc hotline sat]

De todas fomas procedemos a cerrar este Tema al considerarlo solucionado, para que asi puedas postearnos el nuevo problema del otro ordenador.



Aunque cerrado, una vez recibida la muestra, informaremos del resultadio del analisis cuando este controlada



saludos



ms, 24-03-1008