virus?....o cuento para no dormir -segunda parte??? (SOLVED)

Cerrado
bobby
Mensajes: 36
Registrado: 26 Ago 2006, 04:14

virus?....o cuento para no dormir -segunda parte??? (SOLVED)

Mensaje por bobby » 12 May 2008, 14:41

Hola de nuevo. Dicen que segundas partes nunca fueron buenas, pero espero que esta lo sea de nuevo para mí. De momento os pido un poco de paciencia por tener que aguantar mis lamentos otra vez.



Todavía no he solucionado el problema con las carpetas y archivos ocultos que tengo, pero he observado nuevos problemas que no sé si estarán relacionados con mi anterior batalla con los bagles y virus; en fin, vosotros me direis.



El caso es que ayer por la noche, me dispuse a configurar de nuevo mi "Internet Explorer" como lo tenía antes de tener el problema con los bagles. Mi hijo suele utilizar este pc para sus consultas en internet para sus deberes así que lo tengo configurado con el asesor de contenido ( ya sabeis, dentro de "Internet Explorer", "Herramientas-Opciones de Internet-Contenido-Asesor de contenido") para evitar que pueda entrar en "páginas no deseadas".

El caso es que configuré el asesor y cerré el navegador. Después de un rato me dispuse a consultar en la red para informarme de como resolver el problema de mis ocultos y cuando pinché en "Internet Explorer", mientras se cargaba la página principal de Google ( es la página inicial que tengo configurada), apareció la ventana del asesor de contenido vetando la aparición de una página web que yo no conocía , dí a cancelar y de nuevo la misma ventana con otra página web diferente, cancelé y otra vez con otra página diferente y así hasta cuatro páginas, hasta que cargó Google.

Pensando que podía ser algún tipo de programa que intentaba redirigirme a esas páginas, deshabilité el "asesor de contenido", borré el "Historial" e inicié el "Internet Explorer" de nuevo y observé, pero salía como página principal la de Google y sin salír arriba ningún otro tipo de dirección. Pero cuando fuí al "Historial", allí estaban todas esas páginas como si las hubiera visitado, cuando no había hecho más que iniciar el navegador.

Aunque mi "Internet Explorer" no me redirige a esas páginas, está claro que de alguna forma se pone en contacto con ellas ó lo intenta, por lo que no sé si se tratará de algún tipo de virus ó algo así que todavía reside en mi pc.



Después de esto , lanzé el ELISTARA y el ELIBAGLA , sin detectar nada. Después lanzé mi Mcafee y tampoco detectó nada. De momento creo que lo tengo controlado ya que volví a activar el "asesor de contenido", pero como no es un funcionamiento normal, he preferido consultarlo con vosotros. Por si sirve de ayuda, las direcciones de esas páginas son:



http://www.brujaencasa.es

http://www.manualesyprogramas.es

http://ticker.conduit.com

http://www.neftilia.com



Espero vuestros consejos y gracias de antemano.

Avatar de Usuario
Claudia34
Mensajes: 1256
Registrado: 28 Feb 2007, 00:53

Re: virus?....o cuento para no dormir -segunda parte???

Mensaje por Claudia34 » 12 May 2008, 17:13

Bueno antes que nada te dire que si limpias por completo la pc de bichos informaticos, y al rato vas a una pagina de internet que contenga malwares te infecta automaticamente la pc y estarias en la misma situacion que al principio.

Con respecto a los logs de elistara, elitrip, hijackthis, elibagle, etc., se deben de pegar los logs correspondientes de cada uno aunque estes seguro de los resultados.



Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp



Y para complementar (opcional en algunos casos):



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469





Y compleméntalo posteándonos el Log del HJT:





HJT: (HiJackThis)



¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



¿Como arrancar en modo a prueba de fallos?



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Opcional:





Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.





Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:



https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:



http://www.zonavirus.com/antivirus-on-line/



Y pruebate el kaspersky antivirus online que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.



https://www.kaspersky.es/downloads/thank-you/free-antivirus-download



Y para el tema de los autorun descargate del siguiente enlace el elipen:



http://www.zonavirus.com/descargas/elipen.asp



Saludos.
Reglas para estar aunque sea un 40% mas seguro en internet: "navegar con usuario limitado, tener 1 antispyware, 1 cortafuegos (por hardware), 1 antivirus,1 IDS y 1 HIPS en la pc actualizados, realizar un escaneo semanalmente con 7 antivirus online, usar site advisor, informarse diariamente de los temas de seguridad informatica, deshabilitar algunos servicios innecesarios de windows xp, analizar los archivos con virus total antes de abrirlos, utilizar algunas herramientas antimalware y antirootkit gratuitas para escaneo semanalmente, tener un poco de paranoia al navegar por internet (no confiar casi en nadie), utilizar un navegador que no tenga muchos agujeros de seguridad, hacer una copia de seguridad de los datos regularmente, tener actualizados todos los softwares en la pc ademas del S.O., no dar datos privados al navegar, utilizar una fuerte y compleja contraseña para todos los usuarios en la pc, cambiar las contraseñas cada poco tiempo, utilizar elipen, etc., etc." .

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: virus?....o cuento para no dormir -segunda parte???

Mensaje por msc hotline sat » 12 May 2008, 18:09

Como que ya vienes de otro Tema en el que ya habiamos probado bastantes cosas,



https://foros.zonavirus.com/viewtopic.php?f=5&t=24649&p=133466#p133466



por lo que ahora dices, prueba de nuevo el SPROCES Y nos posteas el c:\SPROCLOG.txt resultante, veremos si estas paginas aparecen configfuradas en los buscadores o si hay algo nuevo a controlar:



SPROCES





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del



C:\SPROCLOG.TXT :



saludos



ms, 12-05-2008

bobby
Mensajes: 36
Registrado: 26 Ago 2006, 04:14

Re: virus?....o cuento para no dormir -segunda parte???

Mensaje por bobby » 12 May 2008, 19:35

Dicho y hecho, ahí vá el log del SPROCES ( eliminando como siempre los hosts 127.0.0.1); espero que os sirva.







Mon May 12 19:26:50 2008

SProces v3.0 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.11) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 7.0\DISTILLR\ACROTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\QUICKTIME\QTTASK.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_S4I0S2.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE.COM\AGENT\MCAGENT.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MBK\MCAFEEDATABACKUP.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\NOKIA PC SUITE 6\PCSUITE.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\NOKIA PC SUITE 6\PCSYNC2.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MBK\MBACKMONITOR.EXE

C:\ARCHIV~1\MCAFEE\MSC\MCMSCSVC.EXE

C:\ARCHIV~1\ARCHIV~1\MCAFEE\MNA\MCNASVC.EXE

C:\ARCHIV~1\ARCHIV~1\MCAFEE\MCPROXY\MCPROXY.EXE

C:\ARCHIV~1\MCAFEE\VIRUSS~1\MCSHIELD.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MPF\MPFSRV.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MSK\MSKSRVER.EXE

C:\ARCHIVOS DE PROGRAMA\PINNACLE\MEDIASERVER\MICROSOFT SQL SERVER\MSSQL$PINNACLESYS\BINN\SQLSERVR.EXE

C:\ARCHIVOS DE PROGRAMA\SITEADVISOR\6253\SASERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\SERVICELAYER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXSTORESVR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NOKIA\MPAPI\MPAPI3S.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLUSBSRV.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLIRSRV.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLRSSRV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIV~1\MCAFEE\VIRUSS~1\MCSYSMON.EXE

C:\ARCHIVOS DE PROGRAMA\SITEADVISOR\6253\SITEADV.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE10\WINWORD.EXE

C:\WINDOWS\MSAGENT\AGENTSVR.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\XXXXXX\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,



O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6253\SiteAdv.dll

O2 - BHO: McAfee Phishing Filter - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\ARCHIV~1\mcafee\msk\mcapbho.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan\scriptsn.dll

O2 - BHO: enlaces.110mb Toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenl0.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O3 - Toolbar: enlaces.110mb Toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenl0.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6253\SiteAdv.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: []

O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_9 -reboot 1

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: []

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"

O4 - HKLM\..\Run: [mcagent_exe] C:\Archivos de programa\McAfee.com\Agent\mcagent.exe /runkey

O4 - HKLM\..\Run: [McAfee Backup] C:\Archivos de programa\McAfee\MBK\McAfeeDataBackup.exe

O4 - HKLM\..\Run: [MBkLogOnHook] C:\Archivos de programa\McAfee\MBK\LogOnHook.exe

O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\6172\SiteAdv.exe

O4 - HKLM\..\Run: [McENUI] C:\ARCHIV~1\McAfee\MHN\McENUI.exe /hide

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk

O4 - Global Startup: Microsoft Office.lnk

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download with YouTube Video Converter - C:\Archivos de programa\Xilisoft\YouTube Video Converter\upod_link.HTM

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5287/mcfscan.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6253\SiteAdv.dll

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: MBackMonitor - McAfee - C:\Archivos de programa\McAfee\MBK\MBackMonitor.exe

**O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

*O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Archivos de programa\McAfee\MSK\MskSrver.exe

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\archivos de programa\pinnacle\shared files\programs\mediaserver\pmshost.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Servicio SiteAdvisor (SiteAdvisor Service) - McAfee, Inc. - C:\Archivos de programa\SiteAdvisor\6253\SAService.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ASAPIW2K - VOB Computersysteme GmbH - C:\WINDOWS\SYSTEM32\Drivers\ASAPIW2K.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Pinnacle Marvin Bus (MarvinBus) - Pinnacle Systems GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\MarvinBus.sys

**O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Inc. mfeavfk (mfeavfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeavfk.sys

O23 - Service: McAfee Inc. mfebopk (mfebopk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfebopk.sys

O23 - Service: McAfee Inc. mferkdk (mferkdk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mferkdk.sys

O23 - Service: McAfee Inc. mfesmfk (mfesmfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfesmfk.sys

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



38 Servicios.

13 de Carga Automatica.

22 de Carga Manual.

3 Deshabilitados.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: virus?....o cuento para no dormir -segunda parte???

Mensaje por msc hotline sat » 12 May 2008, 20:13

Pues buscando cinco puies al gato, vemos que la class de esta clave:



R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll



es la misma que la del adware que describe Symantec en:



http://www.symantec.com/security_response/print_writeup.jsp?docid=2003-091617-4648-99



Quizas tienes el IEFRAME.DLL dañado o alterado..., podrías tratar de sustitirlo por el de otro ordenador similar o te lo bajas de:



http://www.dll-files.com/dllindex/dll-files.shtml?ieframe



a ver si es esto, dificil de ver si es que te han cambiado el contenido del fichero... y solo tenemos de pista la class y esta descripcion de Symantec, a ver si hay suerte...



Y mejor probamos esto que eliminar de entrada la clave, no vayamos a quedarnos sin acceso a internet ...





saludos



ms, 12-05-2008





NOTA: Por lo demas el log está limpio. ms.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: virus?....o cuento para no dormir -segunda parte???

Mensaje por msc hotline sat » 13 May 2008, 11:57

Aparte de lo indicado, recibimos muestra de un EXE que contiene una nueva variante de AGOBOT, y pasamos a controlarlo con el ELITRIIP de hoy, 4.70



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus


[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]


saludos



ms, 13-05-2008

bobby
Mensajes: 36
Registrado: 26 Ago 2006, 04:14

Re: virus?....o cuento para no dormir -segunda parte???

Mensaje por bobby » 13 May 2008, 14:18

Gracias.

He probado modificando mi "ieframe.dll" por la descargada de : http://www.dll-files.com/dllindex/dll-f ... ml?ieframe, y ni siguiera se me abre el Internet Explorer ( no sé si será porque yo tengo IE 7); Y también he probado con un "ieframe.dll" copiado de mi pc del trabajo, que es IE 7, y supuestamente está limpio de virus, más que nada porque no tengo conexión de internet en él, y sí que se abre y funciona mi IE, pero me sigue pasando lo que os conté ayer, aunque no se percibe, visitando el historial siguen apareciendo esas cuatro páginas.



Esta noche, cuando llegue a casa probaré el ELITRIP como me decís y ya os contaré. Saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: virus?....o cuento para no dormir -segunda parte???

Mensaje por msc hotline sat » 13 May 2008, 15:20

Pues has de tener algun residente troyano que se difraza de utilidad legal, ya que aparentemente está limpio...:



Entre estos procesos activos, mira si hay alguno que no es voluntario:



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 7.0\DISTILLR\ACROTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\QUICKTIME\QTTASK.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_S4I0S2.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE.COM\AGENT\MCAGENT.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MBK\MCAFEEDATABACKUP.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\NOKIA PC SUITE 6\PCSUITE.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\NOKIA PC SUITE 6\PCSYNC2.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MBK\MBACKMONITOR.EXE

C:\ARCHIV~1\MCAFEE\MSC\MCMSCSVC.EXE

C:\ARCHIV~1\ARCHIV~1\MCAFEE\MNA\MCNASVC.EXE

C:\ARCHIV~1\ARCHIV~1\MCAFEE\MCPROXY\MCPROXY.EXE

C:\ARCHIV~1\MCAFEE\VIRUSS~1\MCSHIELD.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MPF\MPFSRV.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MSK\MSKSRVER.EXE

C:\ARCHIVOS DE PROGRAMA\PINNACLE\MEDIASERVER\MICROSOFT SQL SERVER\MSSQL$PINNACLESYS\BINN\SQLSERVR.EXE

C:\ARCHIVOS DE PROGRAMA\SITEADVISOR\6253\SASERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\SERVICELAYER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXSTORESVR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NOKIA\MPAPI\MPAPI3S.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLUSBSRV.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLIRSRV.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLRSSRV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIV~1\MCAFEE\VIRUSS~1\MCSYSMON.EXE

C:\ARCHIVOS DE PROGRAMA\SITEADVISOR\6253\SITEADV.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE10\WINWORD.EXE

C:\WINDOWS\MSAGENT\AGENTSVR.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\XXXXXX\ESCRITORIO\SPROCES.EXE



y si quieres, renombras su extension a .VIR y mira si, tras reiniciar, persiste el problema, y en su caso lo vuelves a renombrar a su extension original.



y además, estos son los BHO, que se lanzan cuando abres el navegador (Browse helper Object):



O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6253\SiteAdv.dll

O2 - BHO: McAfee Phishing Filter - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\ARCHIV~1\mcafee\msk\mcapbho.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan\scriptsn.dll

O2 - BHO: enlaces.110mb Toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenl0.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)



y aunque todos son aparentemente legales, da un vistazo a los rmismos, que todos sean voluntarios, y prueba eliminando estas dos claves, que no son imprescindibles:





O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)



O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y nos cuentas el resultado



saludos



m,s, 13-05-2008

bobby
Mensajes: 36
Registrado: 26 Ago 2006, 04:14

Re: virus?....o cuento para no dormir -segunda parte???

Mensaje por bobby » 14 May 2008, 00:20

Respecto a lo de los procesos que me decís, no sé como mirar si es voluntario o no; He lanzado el ELIITRIP y por fin ha detectado a nuestro amigo XEBEJH.VIR y a otro amiguito, así que os posteo los resultados después de reiniciar mi pc.

Después he lanzado el HijackThis a prueba de fallos eliminando las claves que me decíais y a continuación en modo normal y también os posteo el informe para ver si os puede servir para ayudarme porque siguen apareciendo esas páginas web. De nuevo, un saludo.





Tue May 13 22:06:33 2008

EliTriIP v4.70 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\xebejh.VIR --> Eliminado, AgoBot.AQE

C:\WINDOWS\system32\xmvxpm.exe --> Eliminado, AgoBot.AQE



Nº Total de Directorios: 7628

Nº Total de Ficheros: 85222

Nº de Ficheros Analizados: 21796

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2













Logfile of HijackThis v1.99.1

Scan saved at 0:18:04, on 14/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE

C:\Archivos de programa\McAfee.com\Agent\mcagent.exe

C:\Archivos de programa\McAfee\MBK\McAfeeDataBackup.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSuite.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSync2.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\McAfee\MBK\MBackMonitor.exe

C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

c:\ARCHIV~1\ARCHIV~1\mcafee\mna\mcnasvc.exe

c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

C:\Archivos de programa\McAfee\MSK\MskSrver.exe

C:\Archivos de programa\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

C:\Archivos de programa\SiteAdvisor\6253\SAService.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\Archivos comunes\Nokia\MPAPI\MPAPI3s.exe

C:\Archivos de programa\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Archivos de programa\PC Connectivity Solution\Transports\NclIrSrv.exe

C:\Archivos de programa\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\SiteAdvisor\6253\SiteAdv.exe

C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

C:\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6253\SiteAdv.dll

O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\ARCHIV~1\mcafee\msk\mcapbho.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan\scriptsn.dll

O2 - BHO: enlaces.110mb Toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenl0.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (file missing)

O3 - Toolbar: enlaces.110mb Toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenl0.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6253\SiteAdv.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"

O4 - HKLM\..\Run: [mcagent_exe] C:\Archivos de programa\McAfee.com\Agent\mcagent.exe /runkey

O4 - HKLM\..\Run: [McAfee Backup] C:\Archivos de programa\McAfee\MBK\McAfeeDataBackup.exe

O4 - HKLM\..\Run: [MBkLogOnHook] C:\Archivos de programa\McAfee\MBK\LogOnHook.exe

O4 - HKLM\..\Run: [McENUI] C:\ARCHIV~1\McAfee\MHN\McENUI.exe /hide

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\6172\SiteAdv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_9 -reboot 1

O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Archivos de programa\Uniblue\RegistryBooster 2\RegistryBooster.exe /S

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download with YouTube Video Converter - C:\Archivos de programa\Xilisoft\YouTube Video Converter\upod_link.HTM

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O11 - Options group: [INTERNATIONAL] International*

O15 - Trusted Zone: http://*.mcafee.com

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5287/mcfscan.cab

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6253\SiteAdv.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: MBackMonitor - McAfee - C:\Archivos de programa\McAfee\MBK\MBackMonitor.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Archivos de programa\McAfee\MSK\MskSrver.exe

O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Archivos de programa\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\archivos de programa\pinnacle\shared files\programs\mediaserver\pmshost.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Servicio SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Archivos de programa\SiteAdvisor\6253\SAService.exe

O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Archivos de programa\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

bobby
Mensajes: 36
Registrado: 26 Ago 2006, 04:14

Re: virus?....o cuento para no dormir -segunda parte???

Mensaje por bobby » 14 May 2008, 00:50

Creo que igual estoy ya cerca de dar con la respuesta. He estado visualizando el informe del SPROCES, para con un poco de paciencia ir digamos "vetando " acciones para ver si una de ellas es la que me redirige a esas páginas porque acabo de recordar que después de lanzar el HijackThis a prueba de errores y eliminar las claves, he abierto IE para ver si no estaban esas páginas y efectívamente no estaban, pero como he lanzado el modo a prueba de errores sin red, el IE no se ha conectado a ninguna página, por lo que he pensado que era por eso por lo que no salían las páginas; pero ahora también recuerdo que cuando he abierto el IE no aparecía una barra de herramientas que tiene instalada mi hijo para escuchar la radio, mandar sms y gestionar el correo ; Esta barra de enlaces he descubierto que se llama "enlaces.110mb.exe" así que voy a probar cambiando la extensión de esta aplicación para ver si consigo algo y ya os contaré mañana. Un saludo.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: virus?....o cuento para no dormir -segunda parte???

Mensaje por msc hotline sat » 14 May 2008, 06:24

Buen investigador ! tendremos que contratarte ... :wink:



Pues si confirmas que renombrandolo a .VIR era el causante del incordio, elimina esta clave:



O2 - BHO: enlaces.110mb Toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenl0.dll



que debe ser la que lo lanza



y nos comentas el resultado, gracias



saludos



ms, 14-05-2008

bobby
Mensajes: 36
Registrado: 26 Ago 2006, 04:14

Re: virus?....o cuento para no dormir -segunda parte???

Mensaje por bobby » 14 May 2008, 14:47

Por fin, creo que lo conseguimos….. :D :D :D

He probado cambiando la extensión de "enlaces.110mb.exe" e mi Internet Explorer deja de redirigirme a esas páginas. Así que voy a desinstalar esa aplicación por precaución y después voy a proceder a eliminar esa clave que me habéis dicho y ya os contaré si ya todo funciona bien.



Os comento también otra cosilla porque igual puede ayudar a alguien más:

Acabo de solucionar también el problema con mis archivos ocultos que arrastraba desde mi anterior tema (virus?...o cuento para no dormir???). El caso es que, anoche, mirando por la red descubrí que algunos bagles, para evitar ser descubiertos se encuentran como archivos ocultos y eliminan las carpetas NOHIDDEN y SHOWALL del registro de Windows o las modifican (actuando en la clave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN), que es la que contiene la posibilidad de ver estos archivos entrando en “Mi Pc-Herramientas-Opciones de carpeta-Ver”; según decían estas claves si son eliminadas ya no se pueden recuperar, pero si no han sido eliminadas sino editadas si que se pueden sanar.

Entonces, revisando mi PC, descubrí que los bagles que tuve o tenía, habían eliminado mi carpeta NOHIDDEN del registro de Windows, pero pensé que igual podía hacer como me recomendabais el otro día con el registro “ieframe.dll” y copiarlo de otro PC similar, y os cuento mi experiencia:



Esta mañana en el PC de mi trabajo, he seguido el camino “Inicio-Ejecutar- teclear “regedit”-Archivo-Exportar” y he podido hacer una copia del registro de Windows del PC de mi trabajo y la he dejado ubicada en el escritorio. Después la he copiado en mi lápiz de memoria y al venir a comer me la he traído a casa.

Una vez iniciada la sesión de Windows, he copiado esta copia en mi escritorio y directamente allí la he ejecutado haciendo doble clic, he aceptado todo lo que me ponía, he reiniciado y …..¡POR FIN!. Ya tengo de nuevo la carpeta con la elección de ocultar o mostrar archivos y carpetas ocultos en “Mi Pc-Herramientas-Opciones de carpeta-Ver” y puedo ver de nuevo archivos y carpetas ocultos.



Así que lo dicho, voy a ponerme ahora con el tema de quitar esa aplicación y ya os cuento. Gracias y un saludo.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: virus?....o cuento para no dormir -segunda parte???

Mensaje por msc hotline sat » 14 May 2008, 15:21

Pues tal como decía en el otro Tema que has puesto un link a este, vamos a implementar lo que nos indicas en la nueva version del ELIBAGLA de hoy, ya que debe tratarse de algo que se les ha ocurrido a cambio del RootKit que ahora no emplean ...



Gracias por la aportacion, mister investigador ! :mrgreen:



saludos



ms, 14-05-2007

bobby
Mensajes: 36
Registrado: 26 Ago 2006, 04:14

Re: virus?....o cuento para no dormir -segunda parte???

Mensaje por bobby » 14 May 2008, 19:25

De nada, y si sirve para ayudar a alguien más pués fenomenal ;además las gracias las tengo que dar yo por toda vuestra paciencia conmigo y por toda vuestra ayuda.

Ya he hecho todo lo que me habeis dicho y junto con lo que he hecho yo mi pc funciona perfectamente....... :D :D :D

Un saludo para todos vosotros y gracias por todo de nuevo...

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: virus?....o cuento para no dormir -segunda parte???

Mensaje por msc hotline sat » 14 May 2008, 20:07

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 14-05-2008

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”