INTERNET Y EQUIPO LENTOS

[iseki]

Hola, hace 2 días entre a una pagina de juegos y desde ese momento mi pc esta fatal. El internet super lento, y el pc a veces... hasta el hijackthis se bloqueo cuando intente hacer el log.



Tenia instalado el NOD32 pero lo desinstalé porque no encontraba nada, e instalé el AVG Free edition, que encontró 20 virus y otros riesgos... sin embargo sigo con el problema.

PD: no tenia abierto el avg porque estaba realizando el escaneo online del kaspersky, pero como va lentiiisimo me arriesgo a poner este post x si puedo resolverlo hoy...



Logfile of HijackThis v1.99.1

Scan saved at 09:20:58 a.m., on 22/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Rundll32.exe

C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe

C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe

C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe

C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe

C:\ARCHIV~1\AVG\AVG8\avgrsx.exe

C:\ARCHIV~1\AVG\AVG8\avgemc.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\AVG\AVG8\aAvgApi.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Archivos de programa\AutoCAD 2008\acad.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\MOONGO~1.CAS\CONFIG~1\Temp\AdskCleanup.0001

C:\DOCUME~1\MOONGO~1.CAS\CONFIG~1\Temp\AdskCleanup.0001

D:\c\HijackThis.exe



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Archivos de programa\DAP\DAPBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: (no name) - {2AA0726C-95B7-4216-AA43-B5BDD524892F} - C:\WINDOWS\system32\wvUoLbCt.dll (file missing)

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL

O2 - BHO: (no name) - {A3FEED2D-5FE7-4272-8D82-EA3B71E811A6} - C:\WINDOWS\system32\xxyyvUlM.dll (file missing)

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Archivos de programa\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Archivos de programa\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\ARCHIV~1\TEXTAL~1\TAForIE.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [BMa7ab5d7e] Rundll32.exe "C:\WINDOWS\system32\rkwuaedw.dll",s

O4 - Startup: Yahoo! Widgets.lnk = C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Convert link target to Adobe PDF - res://E:\Archivos de programa\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://E:\Archivos de programa\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://E:\Archivos de programa\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://E:\Archivos de programa\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://E:\Archivos de programa\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://E:\Archivos de programa\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://E:\Archivos de programa\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://E:\Archivos de programa\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE

O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll

O16 - DPF: {341FF14B-00CB-49F5-A427-A164DF1D5E1F} (MALPlaybackCtrl Class) - http://musicstore.connect.com/XSL/mb_us/html/activexplayer/SMALStreaming.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-LA/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150737975875

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://dianaliceth.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab

O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B87B40AC-1EA8-4889-A666-EEB7F43DC765}: NameServer = 200.13.249.101,200.13.224.254

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: avgrsstx.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: wvUoLbCt - wvUoLbCt.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InstallShield Licensing Service - Macrovision - C:\Archivos de programa\Archivos comunes\InstallShield Shared\Service\InstallShield Licensing Service.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Archivos de programa\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe (file missing)

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe







Mil gracias.

[msc hotline sat]

Envianos este fichero para analizar:



C:\WINDOWS\system32\rkwuaedw.dll







Y elimina estas claves:





O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Archivos de programa\DAP\DAPBHO.dll



O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)



O2 - BHO: (no name) - {2AA0726C-95B7-4216-AA43-B5BDD524892F} - C:\WINDOWS\system32\wvUoLbCt.dll (file missing)



O2 - BHO: (no name) - {A3FEED2D-5FE7-4272-8D82-EA3B71E811A6} - C:\WINDOWS\system32\xxyyvUlM.dll (file missing)



O20 - Winlogon Notify: wvUoLbCt - wvUoLbCt.dll (file missing)





recordar:

[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 22-05-2008

[iseki]

Hola, ya elimine las claves y envie el archivo... elimino el rkwuaedw.dll? aun el internet esta lento....

[msc hotline sat]

Mira, probablemente esta DLL forme parte de un VUNDO, pero hay que analizarla para saberlo, pues con nombre de letras aleatorias, solo mirando su interior se puede saber.



Si quieres adelantar conocimientos, sube este fichero al VirusTotal y posteanos el resultado:



https://www.virustotal.com/es/



y prueba el ELISTARA, a ver si ya lo conocemos y eliminamos, aunque a diario hay cantidad de variantes de esta familia...:





[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y si te dijera que le falta el ELINOTIF.DLL (para algunos VUNDO es necesaria), sigue lo indicado:



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469



y mañana, cuando entremos a trabajar en SATINFO (ahora ya está cerrado), analizaremos la muestra que dices haber enviado e informaremos



saludos



ms, 22-05-2008









NOTA: y por si fuera el caso de que se detectara un VUNDO9 (de los que están de moda), mira lo indicado en:



https://foros.zonavirus.com/viewtopic.php?f=12&t=22997



ms.

[iseki]

Hola, el resultado de virustotal fue:



https://www.virustotal.com/es//analisis/50e880eb56b9c37ee22ac752e5281fd2





Voy a seguir con el procedimiento...

[msc hotline sat]

Confirmada la hipotesis de que era una variante de la familia VUNDO (VIRTUAL MUNDO)



Pues a ver si hay suerte y es de los que ya conoce el ELISTARA, sino mañana, tras analizarlo y monitorizarlo, implementaremos su control y eliminacion en la proxima version 16.34



saludos



ms, 22-05-2008

[iseki]

Hola, este es el InfoSat







Tue Dec 18 11:26:30 2007

EliBagle v10.78 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Dec 18 11:26:50 2007

EliBagle v10.78 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1273

Nº Total de Ficheros: 13442

Nº de Ficheros Analizados: 982

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Thu May 22 12:14:45 2008

EliStartPage v16.33 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "BMa7ab5d7e"="Rundll32.exe "C:\WINDOWS\system32\rkwuaedw.dll",s" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\RKWUAEDW.DLL.Muestra EliStartPage v16.33

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\RKWUAEDW.DLL --> Eliminado

C:\WINDOWS\PSKT.INI --> Eliminado (Fichero Complementario).

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu May 22 12:16:44 2008

EliStartPage v16.33 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\MessengerPlus! 3\MSGPLUS.EXE --> Eliminado, MessengerPlus

C:\Archivos de programa\Motorola Phone Tools\CCM.DLL --> Eliminado, MoviePass

C:\Archivos de programa\MSN Messenger\MSNGSERV.EXE --> Eliminado, Guiños(msn)

C:\Archivos de programa\Spybot - Search & Destroy\BORLNDMM.DLL --> Eliminado, Clicker.Small.TO

C:\Archivos de programa\Spybot - Search & Destroy\DELPHIMM.DLL --> Eliminado, Clicker.Small.TO

C:\Archivos de programa\Talisman 2\TALISMAN.EXE --> Eliminado, BanLoad(dldr)

C:\Documents and Settings\MoonGoddess\Configuración local\Temp\CMDLINEEXT02.DLL --> Eliminado, Spy-CmdLineExt

C:\Documents and Settings\MoonGoddess.CASA-8225E31556\Escritorio\skull\neverhood\setup\creative\GIDD16.DLL --> Eliminado, MalWare.Celular

C:\Documents and Settings\MoonGoddess.CASA-8225E31556\Escritorio\skull\neverhood\setup\directx\drivers\display\msddraw\M64_SONY.DLL --> Eliminado, MalWare.Celular

C:\WINDOWS\system32\BAIBRENX.DLL --> Eliminado, Vundo5



Nº Total de Directorios: 12955

Nº Total de Ficheros: 161225

Nº de Ficheros Analizados: 57115

Nº de Ficheros Infectados: 10

Nº de Ficheros Limpiados: 10







Gracias

[flacoroo]

como ya te elimino lo que te faltaba.....

C:\Muestras\RKWUAEDW.DLL.Muestra EliStartPage v16.33

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\RKWUAEDW.DLL --> Eliminado



dinos si ya anda bien tu sistema.....y si no espera la nueva version del Elistara 16.34...para su eliminacion completamente

[msc hotline sat]

Recibida muestra resulta ser una nueva variante de VUNDO5



Con el ELISTARA 16.34 de hoy se controlará y eliminará:



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 23-05-2008

[iseki]

Hola, creo que ahora si se eliminó el virus, mi internet esta mucho mejor.



el infosat:





Tue Dec 18 11:26:30 2007

EliBagle v10.78 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Dec 18 11:26:50 2007

EliBagle v10.78 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1273

Nº Total de Ficheros: 13442

Nº de Ficheros Analizados: 982

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Thu May 22 12:14:45 2008

EliStartPage v16.33 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "BMa7ab5d7e"="Rundll32.exe "C:\WINDOWS\system32\rkwuaedw.dll",s" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\RKWUAEDW.DLL.Muestra EliStartPage v16.33

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\RKWUAEDW.DLL --> Eliminado

C:\WINDOWS\PSKT.INI --> Eliminado (Fichero Complementario).

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu May 22 12:16:44 2008

EliStartPage v16.33 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\MessengerPlus! 3\MSGPLUS.EXE --> Eliminado, MessengerPlus

C:\Archivos de programa\Motorola Phone Tools\CCM.DLL --> Eliminado, MoviePass

C:\Archivos de programa\MSN Messenger\MSNGSERV.EXE --> Eliminado, Guiños(msn)

C:\Archivos de programa\Spybot - Search & Destroy\BORLNDMM.DLL --> Eliminado, Clicker.Small.TO

C:\Archivos de programa\Spybot - Search & Destroy\DELPHIMM.DLL --> Eliminado, Clicker.Small.TO

C:\Archivos de programa\Talisman 2\TALISMAN.EXE --> Eliminado, BanLoad(dldr)

C:\Documents and Settings\MoonGoddess\Configuración local\Temp\CMDLINEEXT02.DLL --> Eliminado, Spy-CmdLineExt

C:\Documents and Settings\MoonGoddess.CASA-8225E31556\Escritorio\skull\neverhood\setup\creative\GIDD16.DLL --> Eliminado, MalWare.Celular

C:\Documents and Settings\MoonGoddess.CASA-8225E31556\Escritorio\skull\neverhood\setup\directx\drivers\display\msddraw\M64_SONY.DLL --> Eliminado, MalWare.Celular

C:\WINDOWS\system32\BAIBRENX.DLL --> Eliminado, Vundo5



Nº Total de Directorios: 12955

Nº Total de Ficheros: 161225

Nº de Ficheros Analizados: 57115

Nº de Ficheros Infectados: 10

Nº de Ficheros Limpiados: 10



Fri May 23 13:05:33 2008

EliStartPage v16.34 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 23 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri May 23 13:05:52 2008

EliStartPage v16.34 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 23 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\RKWUAEDW.DLL.MUESTRA ELISTARTPAGE V16.33 --> Eliminado, Vundo5



Nº Total de Directorios: 12929

Nº Total de Ficheros: 141512

Nº de Ficheros Analizados: 55141

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri May 23 13:40:34 2008

EliStartPage v16.34 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 23 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\AUTORUN.INF --> Eliminado, PWS-OnLineGames.KAVO(inf)



Nº Total de Directorios: 885

Nº Total de Ficheros: 27430

Nº de Ficheros Analizados: 546

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri May 23 13:42:05 2008

EliStartPage v16.34 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 23 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\AUTORUN.INF --> Eliminado, PWS-OnLineGames.KAVO(inf)



Nº Total de Directorios: 893

Nº Total de Ficheros: 11777

Nº de Ficheros Analizados: 1494

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri May 23 13:43:54 2008

EliStartPage v16.34 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 23 de Mayo del 2008)

--------------------------------------------------



El que aparece demás es porque antes no lo había ejecutado con las otras unidades :roll:



Mil gracias por la ayuda, como siempre, oportuna.

[msc hotline sat]

Pues bien, el VUNDO5 ha sido eliminado:


[quote]EliStartPage v16.34 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 23 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\RKWUAEDW.DLL.MUESTRA ELISTARTPAGE V16.33 --> Eliminado, Vundo5[/quote]

Pero vemos otro troyano, de los que se propagan por pendrive, por lo que debes vacunar tu ordenador con el ELIPEN y procesar ademas todos tus pendrives con dicha utilidad:


[quote="para DESCARGAR el ELIPEN, msc"]



http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de



C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 23-05-2008

[iseki]

Hola :)





Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1241

Nº Total de Ficheros: 10214

Nº de Ficheros Analizados: 3746

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Fri May 23 15:26:22 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad D:\ Protegida



Unidad E:\ Protegida



Fri May 23 15:36:20 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Ahora no tengo pendrive, solo cuando llegan ajenas... Aunque si tengo celular

Una preg, esta también se puede ejecutar con telefonos celulares? gracias

[flacoroo]

si usas una cable con entrada usb y de ahi bajas archivos a tu celular como la musica ...si se puede infectar, lo mismo que las Ipod, DD externos, memorias de camara digitales, etc....

[msc hotline sat]

Para salir de dudas, lanza este AV ONLINE y posteanos el informe resultante:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta,indicando la utilidad a probar para solucionarlo.



saludos



ms, 24-05-2008

[iseki]

:( Que pesadilla.... y keyloggers.... :cry:



[img]http://farm3.static.flickr.com/2061/2519961260_cbb65cd4a4_o_d.jpg[/img]

[msc hotline sat]

Pues no tienes nada malware activo, solo en el RESTORE, lo cual no afecta salvo que restauraras a un punto anterior, por lo que lo unico que deberías hacer es desactivar la restauracion de sistema y arrancar en modo segur0, y en dicho modo lanzar tu antivirus y utilidades que has empleado para eliminar los virus activos, para limpiarlos tambien del RESTORE, aunque ya no te afecten para el comportamiento actual.



Si tienes algun problema en ello, indicanoslo.



saludos



ms, 25-05-2008

[iseki]

Hola... quise ejecutar el avg en modo seguro pero me dice que solo se puede con d.o.s., y no se manejarlo....