popups publicidad

[dem13]

me salen muchas ventanas emergentes con el explorer y el firefox, ademas me saltan errores y va un poco lenta la pc, aver si pueden ayudarme les dejo mi log, gracias.



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:10:52, on 27/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\mrofinu1535.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Svconr\Svconr.exe

C:\Archivos de programa\RALINK\Common\RaUI.exe

C:\Archivos de programa\Ares Galaxy Turbo Booster\Ares Galaxy Turbo Booster.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1535.exe 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257

O4 - HKLM\..\Run: [BM77761c1c] Rundll32.exe "C:\WINDOWS\system32\rdiklmbd.dll",s

O4 - HKLM\..\Run: [74452f80] rundll32.exe "C:\WINDOWS\system32\dwixiixs.dll",b

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [Svconr] C:\Archivos de programa\Svconr\Svconr.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Ares Galaxy Turbo Booster.lnk = C:\Archivos de programa\Ares Galaxy Turbo Booster\Ares Galaxy Turbo Booster.exe

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Archivos de programa\RALINK\Common\RaUI.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://especiales.softonic.com/sinespias/installer.cab

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O20 - AppInit_DLLs:

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



--

End of file - 5354 bytes

[lucl]

Pasa estos dos programas que te indico y peganos el log que te dejara en C infosat.txt saludos





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp

[flacoroo]

mandanos estos archivos a analizar: sigue estos pasos [url=https://foros.zonavirus.com/viewtopic.php?f=5&t=24875]Como comprimir archivos y ponerles contraseña[/url] y los mandas a zonavirus@satinfo.es con tu nick del foro como asunto..



O4 - HKLM\..\Run: [BM77761c1c] Rundll32.exe "C:\WINDOWS\system32\[color=#FF0000]rdiklmbd.dll",s[/color]

O4 - HKLM\..\Run: [74452f80] rundll32.exe "C:\WINDOWS\system32\[color=#FF0000]dwixiixs.dll",b[/color]

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\[color=#FF0000]mrofinu1535.exe [/color]61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257



despues haz esto: bajate estos archivos, deshabilitas restaurar sistemas, los ejecutas y despues nos pegas el resultado de C:infosat.txt



[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Descargar ElitriIP[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]Descargar Elinotiff[/url]

[msc hotline sat]

Y aparte de estos indicados por flacoroo,



C:\WINDOWS\system32\dwixiixs.dll



C:\WINDOWS\system32\rdiklmbd.dll







envianos tambien:







C:\WINDOWS\mrofinu1535.exe



C:\Archivos de programa\Svconr\Svconr.exe



C:\Archivos de programa\Ares Galaxy Turbo Booster\Ares Galaxy Turbo Booster.exe





para ello:





>[b]ENVIO DE



MUESTRAS Y ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 28-05-2008

[dem13]

aqui os dejo el resultado de infosat.txt, ya os e mandado un vail con los archivos que me pedisteis, espero que podais ayudarme, muchas gracias.





Wed May 28 09:02:45 2008

EliStartPage v16.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 27 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDCBQJJB] -> C:\WINDOWS\SYSTEM32\ddcBQjJB.dll

Entrada Eliminada [HKLM\...\Run] "74452f80"="rundll32.exe "C:\WINDOWS\system32\dwixiixs.dll",b" (Vundo)

Entrada Eliminada [HKLM\...\Run] "BM77761c1c"="Rundll32.exe "C:\WINDOWS\system32\rdiklmbd.dll",s" (Vundo)

[WinLogon\Notify\DDCBQJJB]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\DDCBQJJB.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\DDCBQJJB.DLL.Muestra EliStartPage v16.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCBQJJB.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\DWIXIIXS.DLL.Muestra EliStartPage v16.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DWIXIIXS.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\RDIKLMBD.DLL.Muestra EliStartPage v16.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\RDIKLMBD.DLL --> Renombrado a .VIR

C:\WINDOWS\PSKT.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "runner1"="C:\WINDOWS\mrofinu1535.exe 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Wed May 28 09:06:41 2008

EliStartPage v16.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 27 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Spybot - Search & Destroy\BORLNDMM.DLL --> Eliminado, Clicker.Small.TO

C:\Archivos de programa\Spybot - Search & Destroy\DELPHIMM.DLL --> Eliminado, Clicker.Small.TO

C:\QooBox\Quarantine\C\WINDOWS\system32\BRLFDXKF.DLL.VIR --> Eliminado, JuanSearch(BHO)

C:\QooBox\Quarantine\C\WINDOWS\system32\BWPEPRJU.DLL.VIR --> Eliminado, JuanSearch(BHO)

C:\QooBox\Quarantine\C\WINDOWS\system32\IIFEVMNO.DLL.VIR --> Eliminado, DownLoader.ConHook(notify)

C:\QooBox\Quarantine\C\WINDOWS\system32\QNDUWGPF.DLL.VIR --> Eliminado, Vundo5

C:\QooBox\Quarantine\C\WINDOWS\system32\XDBFSHNL.DLL.VIR --> Eliminado, Vundo5



Nº Total de Directorios: 8727

Nº Total de Ficheros: 96761

Nº de Ficheros Analizados: 13456

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 7



Wed May 28 09:17:25 2008

EliTriIP v4.73 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Wed May 28 09:17:42 2008

EliTriIP v4.73 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\QOMDARLJ.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Wed May 28 09:20:47 2008

EliStartPage v16.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 27 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDCBQJJB] -> C:\WINDOWS\SYSTEM32\ddcBQjJB.dll

Entrada Eliminada [HKLM\...\Run] "BM77761c1c"="Rundll32.exe "C:\WINDOWS\system32\rdiklmbd.dll",s" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\DDCBQJJB.DLL.Muestra EliStartPage v16.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCBQJJB.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\QOMDARLJ.DLL.Muestra EliStartPage v16.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\QOMDARLJ.DLL --> Acceso Denegado.

Eliminada Class, "{3B0997BE-CA8A-45AF-A056-7E99F30097E1}" -> C:\WINDOWS\system32\qoMdARlJ.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\QOMDARLJ.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



Wed May 28 09:21:42 2008

EliStartPage v16.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 27 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDCBQJJB] -> C:\WINDOWS\SYSTEM32\ddcBQjJB.dll

Entrada Eliminada [HKLM\...\Run] "BM77761c1c"="Rundll32.exe "C:\WINDOWS\system32\rdiklmbd.dll",s" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\DDCBQJJB.DLL.Muestra EliStartPage v16.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCBQJJB.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\QOMDARLJ.DLL.Muestra EliStartPage v16.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\QOMDARLJ.DLL --> Acceso Denegado.

Eliminada Class, "{3B0997BE-CA8A-45AF-A056-7E99F30097E1}" -> C:\WINDOWS\system32\qoMdARlJ.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\QOMDARLJ.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



Nº Total de Directorios: 8729

Nº Total de Ficheros: 97134

Nº de Ficheros Analizados: 11554

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\ddcBQjJB.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\DDCBQJJB"

Detectado Vundo9

Elininada Class {97983507-B5C3-47C2-9708-F4E2D191D2CA}

Elininado BHO {97983507-B5C3-47C2-9708-F4E2D191D2CA}

Desinstalado EliNotif.dll



Wed May 28 09:33:50 2008

EliStartPage v16.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 27 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "BM77761c1c"="Rundll32.exe "C:\WINDOWS\system32\rdiklmbd.dll",s" (Vundo)

C:\WINDOWS\SYSTEM32\RDIKLMBD.DLL.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\QOMDARLJ.DLL.Muestra EliStartPage v16.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\QOMDARLJ.DLL --> Acceso Denegado.

Eliminada Class, "{F4CD203D-B37A-4CED-866D-6D59ACA1E3A3}" -> C:\WINDOWS\system32\qoMdARlJ.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\QOMDARLJ.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

[koga]

Realice lo que pide el infosat "(Reinicie de Nuevo para Completar la Limpieza)" y vuelva a postear el nuevo log despues del escaner, ademas envie las muestras que se piden en el log si es que no es de las que ya ha enviado.

Por otra parte le recomendaria desactivar que ares inicie cuando inicia windows ya que lo vuelve bastante lento, y mejor aun seria si no lo usara ya que los programas p2p siempre conllevan riesgo de infecciones.









Saludos.

[koga]

Un ultimo dettale, me fije que las ultimas veces que uso elistara solo dice (por accion directa) recuerde que debe presionar el boton explorar una ves que aparesca la ventana de elistara y elitriip.







Saludos.

[msc hotline sat]

Como que veo en el infosat VUNDO 9:



[b][i]Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\QOMDARLJ.DLL)[/i][/b]



por si te hiciera falta, mira esto:



https://foros.zonavirus.com/viewtopic.php?f=5&t=23759



saludos



ms, 28-05-2008

[msc hotline sat]

recibidas nuevas muestras para analizar, pasamos a controlarlas como VUNDO5, Downloader y Ad_Clicker en la nueva version del ELISTARA 16.39 de hoy



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



Tras probarlo posteenos el resultado, gracias



saludos



ms, 29-05-2008

[msc hotline sat]

Subidas las nuevas utilidades:



https://foros.zonavirus.com/viewtopic.php?f=11&t=24980



Pruebalas y nos posteas el resultado, gracias



saludos



ms, 29-05-2008