Ayudaaaa!!! (SOLUCIONADO)

[dany_carp23]

Hola!! Decidi recurri a su ayuda porque realmente no encontre otra solucion a mi problema.. Tengo un trojan-Clicker.Win32.Delf.qq que abre una ventana en blanco de internet explorer y luego muchas publicidades de casinos y programas anti malware... Existe un archivo que no puedo eliminar en la carpeta C:/WINDOWS que se llama IEXPLORE.EXE. No creo haberme olvidado de ningun antivirus.. ya probe con todos!! El unico que reconoce el virus es el Kaspersky, pero no lo elimina. Les dejo mi log del Hijackthis, y les agradeceria una rapida respuesta.. Muchas Gracias!!





Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:23:30, on 01/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Safe mode



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"

O4 - HKLM\..\Run: [mscdti] C:\WINDOWS\cdti.exe /nosrv

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [RocketDock] "C:\Archivos de programa\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User '?')

O4 - HKUS\S-1-5-21-1844237615-329068152-1801674531-1004\..\Run: [RocketDock] "C:\Archivos de programa\RocketDock\RocketDock.exe" (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: DSLMON.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{69B2843E-5894-463E-BC40-2BB08FD78713}: NameServer = 200.45.191.35,200.45.191.40

O17 - HKLM\System\CS1\Services\Tcpip\..\{69B2843E-5894-463E-BC40-2BB08FD78713}: NameServer = 200.45.191.35,200.45.191.40

O17 - HKLM\System\CS2\Services\Tcpip\..\{69B2843E-5894-463E-BC40-2BB08FD78713}: NameServer = 200.45.191.35,200.45.191.40

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~1\Office12\GR99D3~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

O23 - Service: cfm - Unknown owner - C:\WINDOWS\system32\cfmom.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe



--

End of file - 4895 bytes

[Claudia34]

Pues peganos el log del kaspersky para nosotros obrar en consecuencia, y ademas complementalo con los siguientes:



Descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp



Y para complementar (opcional en algunos casos):



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469



Opcional:



Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.





Saludos.

[dany_carp23]

Hola!! Aqui les dejo lo que me tira el Kaspersky



deleted: Trojan program Trojan-Clicker.Win32.Delf.qg File: C:\WINDOWS\ IEXPLORE.EXE

deleted: Trojan program Trojan-Clicker.Win32.Delf.qg File: C:\System Volume Information\_restore{2F0B6A4E-707C-4872-8288-F72CA203D3AF}\RP1\A0000004.EXE

deleted: malware HackTool.Win32.AntiAV.d File: C:\Documents and Settings\User\Escritorio\hjred103\HijackReader.exe

deleted: malware HackTool.Win32.AntiAV.d File: C:\DOCUME~1\User\CONFIG~1\Temp\Rar$EX00.937\HijackReader.exe

deleted: malware HackTool.Win32.AntiAV.d File: C:\DOCUME~1\User\CONFIG~1\Temp\Rar$EX05.109\HijackReader.exe

not found: Trojan program Trojan-Clicker.Win32.Delf.qg File: C:\WINDOWS\ IEXPLORE.EXE

Infected: Trojan program Trojan-Clicker.Win32.Delf.qg C:\WINDOWS\ IEXPLORE.EXE 457 KB

01/04/2008 19:28:15 Scan startup objects cannot be started because of an error: task cannot be started in the safe mode

01/04/2008 20:05:36 Protection of your computer is enabled.

01/04/2008 20:05:42 The application C:\Archivos de programa\Eset\nod32krn.exe cannot establish connection with server 89.202.157.136. Please check your internet connection settings. If you have a firewall installed, check that the application avp.exe is allowed internet access.

01/04/2008 20:05:43 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 20:05:43 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 20:05:52 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 20:06:02 Protection of your computer is not running. You are advised to resume protection.

01/04/2008 20:10:12 Protection of your computer is enabled.

01/04/2008 20:12:52 Protection of your computer is not running. You are advised to resume protection.

01/04/2008 20:35:40 Protection of your computer is enabled.

01/04/2008 20:38:54 Update completed successfully

01/04/2008 20:39:15 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: User4\User, computer: localhost.

01/04/2008 20:39:15 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 20:39:20 File C:\System Volume Information\_restore{2F0B6A4E-707C-4872-8288-F72CA203D3AF}\RP1\A0000004.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 20:39:22 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'.

01/04/2008 20:39:25 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 20:39:33 File C:\System Volume Information\_restore{2F0B6A4E-707C-4872-8288-F72CA203D3AF}\RP1\A0000004.EXE: deleted.

01/04/2008 20:43:31 Protection of your computer is not running. You are advised to resume protection.

01/04/2008 20:46:57 Protection of your computer is enabled.

01/04/2008 20:47:04 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 20:47:04 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 20:47:18 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 20:52:08 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 20:52:08 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 20:52:12 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 20:56:00 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 20:56:00 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 20:56:02 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 20:59:16 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 20:59:16 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 20:59:16 File C:\WINDOWS\ IEXPLORE.EXE: is still infected, skipped by user.

01/04/2008 20:59:20 Protection of your computer is not running. You are advised to resume protection.

01/04/2008 21:10:10 Your evaluation period will end in 29 days. To ensure uninterrupted protection, please <a v(buy)>click here to purchase</a>.

01/04/2008 21:10:11 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 21:10:12 Protection of your computer is enabled.

01/04/2008 21:13:32 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 21:13:35 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 21:16:50 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 21:16:50 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 21:16:52 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 21:20:44 Protection of your computer is not running. You are advised to resume protection.

01/04/2008 21:27:02 Your evaluation period will end in 29 days. To ensure uninterrupted protection, please <a v(buy)>click here to purchase</a>.

01/04/2008 21:27:03 Protection of your computer is enabled.

01/04/2008 21:27:11 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 21:27:11 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 21:27:15 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 21:32:18 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 21:32:18 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 21:32:28 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 21:36:37 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 21:36:37 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 21:36:43 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 21:38:31 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 21:38:31 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 21:38:32 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 21:40:27 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 21:40:27 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 21:40:29 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 21:43:40 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 21:43:40 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 21:43:41 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 21:46:49 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 21:46:49 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 21:46:52 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 21:48:44 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 21:48:44 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 21:49:22 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 21:51:15 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 21:51:15 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 21:51:38 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 21:54:24 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 21:54:24 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 21:54:28 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 21:55:02 Process (PID 2260) tried to access Kaspersky Anti-Virus process (PID 1616), but the action has been blocked by the Self-Defense component. No action on your part is required.

01/04/2008 21:55:02 Process (PID 2260) tried to access Kaspersky Anti-Virus process (PID 1680), but the action has been blocked by the Self-Defense component. No action on your part is required.

01/04/2008 21:59:33 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 21:59:33 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 21:59:35 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 22:01:59 Protection of your computer is not running. You are advised to resume protection.

01/04/2008 22:03:51 Your evaluation period will end in 29 days. To ensure uninterrupted protection, please <a v(buy)>click here to purchase</a>.

01/04/2008 22:03:54 Protection of your computer is enabled.

01/04/2008 22:06:32 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: User4\User, computer: localhost.

01/04/2008 22:06:32 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 22:07:46 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 22:09:16 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 22:09:16 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 22:10:07 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 22:13:44 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 22:13:44 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 22:13:47 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 22:16:28 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 22:16:28 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 22:16:30 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 22:18:29 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 22:18:29 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 22:18:31 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 22:20:44 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 22:20:44 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 22:20:46 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 22:20:46 File C:\Documents and Settings\User\Escritorio\hjred103\HijackReader.exe: detected: malware 'HackTool.Win32.AntiAV.d'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 22:20:46 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 22:21:02 File C:\Documents and Settings\User\Escritorio\hjred103\HijackReader.exe: deleted.

01/04/2008 22:23:47 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 22:23:47 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 22:23:51 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 22:25:16 File C:\DOCUME~1\User\CONFIG~1\Temp\Rar$EX00.937\HijackReader.exe: detected: malware 'HackTool.Win32.AntiAV.d'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 22:25:16 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 22:25:39 File C:\DOCUME~1\User\CONFIG~1\Temp\Rar$EX00.937\HijackReader.exe: is still infected, skipped by user.

01/04/2008 22:25:48 File C:\DOCUME~1\User\CONFIG~1\Temp\Rar$EX00.937\HijackReader.exe: detected: malware 'HackTool.Win32.AntiAV.d'. User: User4\User, computer: localhost.

01/04/2008 22:26:03 File C:\DOCUME~1\User\CONFIG~1\Temp\Rar$EX00.937\HijackReader.exe: deleted.

01/04/2008 22:26:03 File C:\DOCUME~1\User\CONFIG~1\Temp\Rar$EX05.109\HijackReader.exe: detected: malware 'HackTool.Win32.AntiAV.d'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 22:26:03 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 22:26:06 File C:\DOCUME~1\User\CONFIG~1\Temp\Rar$EX05.109\HijackReader.exe: deleted.

01/04/2008 22:26:55 Protection of your computer is not running. You are advised to resume protection.

01/04/2008 22:29:05 Your evaluation period will end in 29 days. To ensure uninterrupted protection, please <a v(buy)>click here to purchase</a>.

01/04/2008 22:29:05 Protection of your computer is enabled.

01/04/2008 22:30:28 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: User4\User, computer: localhost.

01/04/2008 22:30:28 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 22:30:39 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'.

01/04/2008 22:30:43 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 22:30:43 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 22:30:43 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 22:31:14 File C:\WINDOWS\ IEXPLORE.EXE: is still infected, skipped by user.

01/04/2008 22:31:34 Protection of your computer is not running. You are advised to resume protection.

01/04/2008 22:33:13 Your evaluation period will end in 29 days. To ensure uninterrupted protection, please <a v(buy)>click here to purchase</a>.

01/04/2008 22:33:13 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 22:33:15 Protection of your computer is enabled.

01/04/2008 22:33:20 The application C:\Archivos de programa\Eset\nod32krn.exe cannot establish connection with server 89.202.157.137. Please check your internet connection settings. If you have a firewall installed, check that the application avp.exe is allowed internet access.

01/04/2008 22:33:27 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 22:33:34 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 22:33:39 Protection of your computer is not running. You are advised to resume protection.

01/04/2008 23:01:34 Your evaluation period will end in 29 days. To ensure uninterrupted protection, please <a v(buy)>click here to purchase</a>.

01/04/2008 23:01:35 Protection of your computer is enabled.

01/04/2008 23:03:21 Update completed successfully

01/04/2008 23:05:32 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: User4\User, computer: localhost.

01/04/2008 23:05:32 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 23:05:56 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 23:07:38 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 23:07:38 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 23:07:49 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 23:09:53 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 23:09:53 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 23:10:04 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 23:12:36 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 23:12:36 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 23:12:44 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 23:14:56 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 23:14:56 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 23:14:59 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 23:17:02 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 23:17:02 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 23:17:05 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 23:20:34 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 23:20:34 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 23:20:39 File C:\WINDOWS\ IEXPLORE.EXE: is still infected, skipped by user.

01/04/2008 23:23:57 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: User4\User, computer: localhost.

01/04/2008 23:24:02 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 23:27:46 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 23:27:46 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 23:27:50 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 23:35:24 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 23:35:24 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 23:35:29 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 23:39:17 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 23:39:17 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 23:39:22 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 23:43:01 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 23:43:01 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 23:44:15 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 23:46:35 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 23:46:35 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 23:46:40 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 23:48:42 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 23:48:42 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 23:49:00 File C:\WINDOWS\ IEXPLORE.EXE: deleted.

01/04/2008 23:50:51 File C:\WINDOWS\ IEXPLORE.EXE: detected: Trojan program 'Trojan-Clicker.Win32.Delf.qg'. User: INICIOMS\User4$, computer: localhost.

01/04/2008 23:50:51 Security threats have been detected. You are advised to neutralize them immediately.

01/04/2008 23:50:54 File C:\WINDOWS\ IEXPLORE.EXE: deleted.





Y disculpen mi ignorancia sobre el tema... pero no se como descargar los archivos del Elistara y el Elitriip.. son programas? porque solo veo datos de registros o algo asi.. y en ese caso.. como los "lanzo"??

[msc hotline sat]

Pues tienes este fichero muy sospechoso:



C:\WINDOWS\system32\cfmom.exe



(su nombre es parecido al del CTFMON.EXE del Office, lo cual puede despistar, picardía usada por los malwares...



Tambien usas el advpack.dll que es sospechoso



Envianos dichos ficheros para analizar e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



y elimina estas claves:



O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User '?')



O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User '?')



O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





saludos



ms, 2-04-2008

[msc hotline sat]

Y mientras estaba analizando el log del HJT y contestando el post anterior, veo que has posteado el resultado de un analisis con Kaspersky, del que vemos otros ficheros que conviene nos envies para analizar:



C:\WINDOWS\ IEXPLORE.EXE



C:\DOCUME~1\User\CONFIG~1\Temp\Rar$EX00.937\HijackReader.exe





Empaquetalos junto con los indicados en el post anterior y los analizaremos



saludos



ms, 2-04-2008

[dany_carp23]

Bueno, espero q hayan recibido mi correo.. el archivo IEXPLORE.EXE es imposible de enviar, pero segun el kaspersky es el programa troyano. El archivo de Hijackreader ya no existe.. lo elimine justo antes de postear el primer log. Elimine sin problemas las tres entradas en el Hijackthis.. y les dejo el nuevo log de este:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 1:04:18, on 02/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Safe mode



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"

O4 - HKLM\..\Run: [mscdti] C:\WINDOWS\cdti.exe /nosrv

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [RocketDock] "C:\Archivos de programa\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21-1844237615-329068152-1801674531-1004\..\Run: [RocketDock] "C:\Archivos de programa\RocketDock\RocketDock.exe" (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: DSLMON.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{69B2843E-5894-463E-BC40-2BB08FD78713}: NameServer = 200.45.191.35,200.45.191.40

O17 - HKLM\System\CS1\Services\Tcpip\..\{69B2843E-5894-463E-BC40-2BB08FD78713}: NameServer = 200.45.191.35,200.45.191.40

O17 - HKLM\System\CS2\Services\Tcpip\..\{69B2843E-5894-463E-BC40-2BB08FD78713}: NameServer = 200.45.191.35,200.45.191.40

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~1\Office12\GR99D3~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

O23 - Service: cfm - Unknown owner - C:\WINDOWS\system32\cfmom.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe



--

End of file - 4742 bytes





El problema sigue... El kaspersky es el unico que reconoce al troyano y lo bloquea aproximadamente cada 30 segundos.. es insoportable!!!

[msc hotline sat]

Y porqué es imposible enviarnos el Iexplore sospechoso ??? Arranca en modo segur0, empaquetalo en un zip o RAR con password VIRUS y luego arrancando en modo normal, anexalo a un mail dirigido a zonavirus@satinfo.es con referencia "dany_carp23"



y añade estos otros:





C:\WINDOWS\cdti.exe



C:\WINDOWS\system32\cfmom.exe





Tras recibirlos los analizaremos e implementaremos su control y eliminacion, si procedem en nuestras utilidades, de lo cual informaremos



saludos



2-04-2008

[dany_carp23]

Ahora si espero que les lleguen los archivos... :wink:

[dany_carp23]

Podrian confirmarme si les llegaron los archivos? Gracias :D

[msc hotline sat]

Pues al cerrar la entrada de muestras de la mañana no hay ningun mail a la cuenta de zonavirus con su referencia...



Recordar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Repite el envio ajustandote a las Normas indicadas



saludos



ms, 2-04-2008

[dany_carp23]

Ya les repetI mi envio con los archivos.. espero su pronta respuesta. Saludos.

[msc hotline sat]

se reciben miles de mails diarios, y ninguno con tu referencia en la cuenta de zonavirus...



Haz una cosa: Enviate a ti mismo un mail igual al que nos envias, anexando los ficheros como lo haces, a ver si te llega, igual tienes un problema en el correo...



Y nos comentas tanto si lo recibes como si no, gracias



saludos



ms, 2-04-2008

[dany_carp23]

El problema es que Hotmail no me permite enviarles ningun archivo que contenga contraseña.. y el Outlock nunca termina el proceso de envio. Existe otra manera de hacerles llegar estos archivos? O tal vez alguna pagina donde los pueda analizar y luego pasarles el informe?? gracias.

[lucl]

Veras aunque hotmail te diga lo de la contraseña que no se puede analizar y demas, o te de algun tipo de error tu envialo igual porque si llega, a mi me pasa eso y he podido enviarlos, saludos

[BlackStar]

[quote="dany_carp23"]El problema es que Hotmail no me permite enviarles ningun archivo que contenga contraseña.. y el Outlock nunca termina el proceso de envio. Existe otra manera de hacerles llegar estos archivos? O tal vez alguna pagina donde los pueda analizar y luego pasarles el informe?? gracias.[/quote]





bueno ese es el problema principal de los mails como hotmail o gmail. No te permiten enviar archivos contaminados con virus aun asi esten empaquetados en archivos .zip o .rar.



Puedes probar de analizar los archivos en VirusTotal, aunque si no puedes enviarlos, dudo que puedas analizarlos, aunque no pierdes nada probando :wink:



[b][url=https://www.virustotal.com/es//]VirusTotal[/url][/b]



sin embargo, te recomiendo que busques un mail que te permita enviar archivos ejecutables sin verificacion de virus, para que aca se analicen :wink:





saludos.

[lucl]

Si los subes a virustotal lo que ocurrira es que te dara un analisis de lo que mas o menos es, pero debes enviarlos para que te podamos dar la cura... asi que intentalo, saludos

[dany_carp23]

Bueno... Intente en Gmail enviarles los archivos y al menos me dijo que estaba enviado.. espero que les lleguen.. de cualquier manera, aqui les dejo los analisis de los archivos desde virustotal:



Análisis del archivo cdti.exe recibido el 03.04.2008 00:11:14 (CET)

Estado actual: análisis terminado



Resultado: 8/32 (25.00%)

Compactar Imprimir resultados



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.4.1.2 2008.04.02 -

AntiVir 7.6.0.80 2008.04.02 TR/Drop.Special

Authentium 4.93.8 2008.04.02 -

Avast 4.7.1098.0 2008.04.02 -

AVG 7.5.0.516 2008.04.02 -

BitDefender 7.2 2008.04.02 Trojan.Clicker.Delf.JE

CAT-QuickHeal 9.50 2008.04.02 -

ClamAV 0.92.1 2008.04.02 -

DrWeb 4.44.0.09170 2008.04.02 -

eSafe 7.0.15.0 2008.04.01 -

eTrust-Vet 31.3.5666 2008.04.02 -

Ewido 4.0 2008.04.02 -

FileAdvisor 1 2008.04.03 -

Fortinet 3.14.0.0 2008.04.02 -

F-Prot 4.4.2.54 2008.04.02 W32/Trojan2.AEDD

F-Secure 6.70.13260.0 2008.04.02 -

Ikarus T3.1.1.20 2008.04.02 Trojan-Clicker.Delf.JE

Kaspersky 7.0.0.125 2008.04.03 Trojan-Clicker.Win32.Delf.qg

McAfee 5265 2008.04.02 -

Microsoft 1.3301 2008.04.01 -

NOD32v2 2995 2008.04.02 -

Norman 5.80.02 2008.04.02 -

Panda 9.0.0.4 2008.04.02 Suspicious file

Prevx1 V2 2008.04.03 TROJAN.AGENT.GEN

Rising 20.38.22.00 2008.04.02 -

Sophos 4.28.0 2008.04.02 -

Sunbelt 3.0.978.0 2008.03.18 -

Symantec 10 2008.04.03 -

TheHacker 6.2.92.262 2008.04.02 -

VBA32 3.12.6.3 2008.03.25 -

VirusBuster 4.3.26:9 2008.04.02 -

Webwasher-Gateway 6.6.2 2008.04.02 Trojan.Drop.Special

Información adicional

Tamano archivo: 1759454 bytes

MD5: c5a812aefc0183c12b5eecf44bf4455c

SHA1: f1b457e963a33229033bc7fefbdb3f6b390fd20c

PEiD: -

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=957B993ADE64DC0CD8D41A2058ECB000E864E2C3





Análisis del archivo cfmom.exe recibido el 03.04.2008 00:21:41 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO





Resultado: 8/32 (25%)

Cargando información del servidor..

Su archivo se encuentra encolado en la posición: ___.

Se estima que tendrá que esperar entre ___ y ___

hasta el comienzo del análisis.

No cierre la ventana hasta se haya completado el análisis.

El analizador que estaba procesando su muestra se encuentra detenido,

se va a esperar unos segundos por si fuera posible recuperar el resultado.

Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.

Su archivo está siendo analizado por VirusTotal en estos momentos,

los resultados se iran mostrando a continuación.

Compactar Imprimir resultados



La muestra ha caducado o no existe.

El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.



Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.

Email:





Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.4.1.2 2008.04.02 -

AntiVir 7.6.0.80 2008.04.02 TR/Drop.Special

Authentium 4.93.8 2008.04.02 -

Avast 4.7.1098.0 2008.04.02 -

AVG 7.5.0.516 2008.04.02 -

BitDefender 7.2 2008.04.03 Trojan.Clicker.Delf.JE

CAT-QuickHeal 9.50 2008.04.02 -

ClamAV 0.92.1 2008.04.02 -

DrWeb 4.44.0.09170 2008.04.02 -

eSafe 7.0.15.0 2008.04.01 -

eTrust-Vet 31.3.5666 2008.04.02 -

Ewido 4.0 2008.04.02 -

F-Prot 4.4.2.54 2008.04.02 W32/Trojan2.AEDD

F-Secure 6.70.13260.0 2008.04.02 -

FileAdvisor 1 2008.04.03 -

Fortinet 3.14.0.0 2008.04.02 -

Ikarus T3.1.1.20 2008.04.02 Trojan-Clicker.Delf.JE

Kaspersky 7.0.0.125 2008.04.03 Trojan-Clicker.Win32.Delf.qg

McAfee 5265 2008.04.02 -

Microsoft 1.3301 2008.04.01 -

NOD32v2 2995 2008.04.02 -

Norman 5.80.02 2008.04.02 -

Panda 9.0.0.4 2008.04.02 Suspicious file

Prevx1 V2 2008.04.03 TROJAN.AGENT.GEN

Rising 20.38.22.00 2008.04.02 -

Sophos 4.28.0 2008.04.02 -

Sunbelt 3.0.978.0 2008.03.18 -

Symantec 10 2008.04.03 -

TheHacker 6.2.92.262 2008.04.02 -

VBA32 3.12.6.3 2008.03.25 -

VirusBuster 4.3.26:9 2008.04.02 -

Webwasher-Gateway 6.6.2 2008.04.02 Trojan.Drop.Special

Información adicional

Tamano archivo: 1759454 bytes

MD5: c5a812aefc0183c12b5eecf44bf4455c

SHA1: f1b457e963a33229033bc7fefbdb3f6b390fd20c

PEiD: -

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=957B993ADE64DC0CD8D41A2058ECB000E864E2C3





Análisis del archivo __IEXPLORE.EXE recibido el 03.04.2008 00:34:56 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO





Resultado: 12/32 (37.5%)

Cargando información del servidor..

Su archivo se encuentra encolado en la posición: 9.

Se estima que tendrá que esperar entre 66 y 95 segundos

hasta el comienzo del análisis.

No cierre la ventana hasta se haya completado el análisis.

El analizador que estaba procesando su muestra se encuentra detenido,

se va a esperar unos segundos por si fuera posible recuperar el resultado.

Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.

Su archivo está siendo analizado por VirusTotal en estos momentos,

los resultados se iran mostrando a continuación.

Compactar Imprimir resultados



La muestra ha caducado o no existe.

El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.



Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.

Email:





Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.4.1.2 2008.04.02 -

AntiVir 7.6.0.80 2008.04.02 TR/Click.Delf.QG

Authentium 4.93.8 2008.04.02 -

Avast 4.7.1098.0 2008.04.02 -

AVG 7.5.0.516 2008.04.02 -

BitDefender 7.2 2008.04.03 Trojan.Clicker.Delf.JE

CAT-QuickHeal 9.50 2008.04.02 TrojanClicker.Delf.qg

ClamAV 0.92.1 2008.04.02 -

DrWeb 4.44.0.09170 2008.04.02 -

eSafe 7.0.15.0 2008.04.01 -

eTrust-Vet 31.3.5666 2008.04.02 -

Ewido 4.0 2008.04.02 Hijacker.Delf.qg

F-Prot 4.4.2.54 2008.04.02 W32/Trojan2.AEDD

F-Secure 6.70.13260.0 2008.04.02 Trojan-Clicker.Win32.Delf.qg

FileAdvisor 1 2008.04.03 -

Fortinet 3.14.0.0 2008.04.02 -

Ikarus T3.1.1.20 2008.04.02 Trojan-Clicker.Win32.Delf.qg

Kaspersky 7.0.0.125 2008.04.03 Trojan-Clicker.Win32.Delf.qg

McAfee 5265 2008.04.02 -

Microsoft 1.3301 2008.04.01 -

NOD32v2 2995 2008.04.02 -

Norman 5.80.02 2008.04.02 W32/Delf.BLGR

Panda 9.0.0.4 2008.04.02 Suspicious file

Prevx1 V2 2008.04.03 Trojan.Clicker

Rising 20.38.22.00 2008.04.02 -

Sophos 4.28.0 2008.04.02 -

Sunbelt 3.0.978.0 2008.03.18 -

Symantec 10 2008.04.03 -

TheHacker 6.2.92.262 2008.04.02 -

VBA32 3.12.6.3 2008.03.25 -

VirusBuster 4.3.26:9 2008.04.02 -

Webwasher-Gateway 6.6.2 2008.04.02 Trojan.Click.Delf.QG

Información adicional

Tamano archivo: 467968 bytes

MD5: c0827140aa9288ed3c1f17634f8e0c5a

SHA1: 7bf98cd7dc9aed43e7d6be8353eda317e8d32063

PEiD: BobSoft Mini Delphi -> BoB / BobSoft

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=B435717F00C6122F243807EE6BAB9D00C6862C42

[msc hotline sat]

Pues visto que los tres son troyanos, cuando recibamos las muestras, implementaremos su control y eliminacion en la siguiente version del ELISTARA , de lo cual informaremos



saludos



ms, 3-4-2008

[msc hotline sat]

Tras analizar y monitorizar las tres muestras recibidas, pasamos a implementar su control y eliminacion en el ELISTARA 15.98 DE HOY



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



SALUDOS



ms, 3-4-2008

[dany_carp23]

Hola.. como es eso del Elistara?? porque fue lo primero que me recomendaron al consultarles mi problema, pero no pude entender como es el procedimiento. Debo utilizarlo yo misma para eliminar los troyanos? o lo realizan ustedes para luego pasarme las claves que debere eliminar del hijackthis? Si se tratara del primer caso, por favor expliquenme como lo descargo y lo utilizo.. muchas gracias!!

[msc hotline sat]

Desarrollamos las utilidades para que restauren automaticamente las modificaciones realizadas por los malwares que vamos implementando en ellas.



Asi que descargue el ELISTARA, GUARDELO EN UNA CARPETA, y desde allí pruebelo y responda que NO a las preguntas iniciales, luego EXPLORE la unidad o unidades que tenga en el ordenador y al SALIR indique la pagina de inicio que desea tener, pues si ha detectado infeccion habra eliminado por seguridad la que había, indique la que desee y salga del programa.



ELISTARA

http://www.zonavirus.com/descargas/elistara.asp





Reinicie y posteenos el contenido de c:\infosat.txt para ver el resultado del proceso



saludos



ms, 3-4-2008

[dany_carp23]

Ya descargue el Elistara.. pero me pide un programa de la lista para poder ejecutarse.. quisiera saber cual es y si es necesario desactivar restaurar sistema y ejecutarlo en modo seguro... gracias.

[dany_carp23]

Por favor disculpenme.. es que estaba utilizando el DAP para realizar mis descargas y por eso el Elistara no se ejecutaba.. ya lo logre y parece que todos los archivos troyanos se eliminaron definitivamente.. puse a escanear la pc con el kaspersky y ya no los detecta, las ventanas ya no se abren!! Ejecute el Elistara luego de destildar la casilla de restaurar sistema.. quiero saber si ya puedo volver a tildarla y si debo relizar algun otro procedimiento.. aqui les dejo lo que tiro el infosat.txt:



Thu Apr 03 21:13:05 2008

EliStartPage v15.98 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\CFMOM.EXE --> Clicker.Delf.QG Renombrado a .VIR

C:\WINDOWS\CDTI.EXE --> Eliminado Clicker.Delf.QG

Entrada Eliminada [HKLM\...\Run] "mscdti"="C:\WINDOWS\cdti.exe /nosrv"

Eliminado Servicio, "cfm"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Thu Apr 03 21:14:40 2008

EliStartPage v15.98 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\CFMOM.EXE.VIR --> Eliminado, Clicker.Delf.QG

C:\WINDOWS\system32\OSSMTP.DLL --> Eliminado, Motor.OSSMTP(smtp)

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\spool\drivers\w32x86\hpdeskjet_f300_seriedfce\HPZ3A054.DLL --> Eliminado, MoviePass



Nº Total de Directorios: 3729

Nº Total de Ficheros: 38389

Nº de Ficheros Analizados: 9867

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



Thu Apr 03 21:20:58 2008

EliStartPage v15.98 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "mscdti"="C:\WINDOWS\cdti.exe /nosrv"



Thu Apr 03 21:21:36 2008

EliStartPage v15.98 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3728

Nº Total de Ficheros: 38396

Nº de Ficheros Analizados: 9861

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Activa de nuevo la restauracion del sistema y dinos si te va bien el pc que creo que ya esta listo y asi cerramos el post dandolo por solucionado, gracias, saludos

[msc hotline sat]

Pues vaya con el DAP... , no es muy aconsejable por historias de troyanos, pero no sabiamos que bloqueara la ejecucion de nuestras utilidades .



Y dejando abierto el Tema para que nos confirmes que está solucionado, para otra vez que postees, usa un titulo que identifique el problema, no como has hecho en este caso...:



https://foros.zonavirus.com/viewtopic.php?f=1&t=1307



saludos



ms, 4-4-2008

[dany_carp23]

Hola amigos.. el problema esta solucionado!! Las ventanas ya no aparecen y mi pc parece estar completamente libre de virus. Es bueno saber que se puede contar con su ayuda!! Ya se para la proxima como debo titular mis temas.. jaja.. Muchisimas Gracias por su paciencia y sus consejos!! Pueden dar este tema por terminado. Saludos desde Argentina!!! Daniela.

[msc hotline sat]

Pues lo celebramos, yt dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 4-4-2008

[msc hotline sat]

Como sea que no hay Temas posteriores de este forero, se le informa aqui mismo que las muestras enviadas para analisis ya se controlan con la actual verison del ELISTARA 16.59



y POR FAVOR, CUANDO SE ENVIAN MUESTRAS ES CONVENIENTE QUE HAYA UN TEMA AL RESPECTO, PARA PODER CONTESTAR SOBRE ELLAS O INFORMAR DE INCIDENCIAS.



saludos



ms, 30-06-2008