Otra vez.... Trojan-Downloader.Win32.IstBar.ud (SOLUCIOANDO)

[KESIA]

Hola denuevo... :(



Bueno te cuento, lleve mi notebook al instituto otra vez y no se hice lo que me dijiste vacune mi ordenador y pendrive con el elipen, tambien escanie los pendrive de mis amigas con el elitriip,el elistarA y con el elipen, incluso se los vacune (los pendrive), pero aun asi se puso medio raro el notebook e incluso salia que tenia nuevamente los mismo virus( pase el elistarA creo) luego lo pase por segunda vez y ya no salia la notificacion, tambien pase el elitriip y no salia nada.

Decidi entonces pasar un antivirus online, no me acordaba cual fue el ultimo que pase asi que pase el Kapersky y esto fue lo que me entrego:



-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

domingo, 08 de junio de 2008 14:17:01

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 7/06/2008

Registros en la base antivirus: 744555

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

C:\

D:\

E:\



Estadísticas:

Número de objeros analizados: 31550

Virus encontrados: 1

Objetos infectados: 1 / 0

Objetos sospechosos: 0

Duración del análisis: 00:34:13



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\Eset\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist012008060820080609\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Temp\~DFC3FD.tmp Object is locked saltado

C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\DivX\DivX Player\Database.dat Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Microsoft\MSNLiveFav\LiveFavorites.xml Object is locked saltado

C:\Documents and Settings\Administrador\Escritorio\IshtaR\ELISTARA.A%D8%D8FB%D8%D8H.EXE Infectados: Trojan-Downloader.Win32.IstBar.ud saltado

C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\EventCache\{A1DD541B-AA54-462F-BDD3-D9373661D924}.bin Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

D:\System Volume Information\Desktop.ini Object is locked saltado

D:\System Volume Information\Folder.htt Object is locked saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

D:\System Volume Information\protect.chinese hong kong Object is locked saltado

D:\System Volume Information\protect.chinese simplified Object is locked saltado

D:\System Volume Information\protect.chinese traditional Object is locked saltado

D:\System Volume Information\protect.czech Object is locked saltado

D:\System Volume Information\protect.danish Object is locked saltado

D:\System Volume Information\protect.dutch Object is locked saltado

D:\System Volume Information\Protect.ed Object is locked saltado

D:\System Volume Information\protect.english Object is locked saltado

D:\System Volume Information\protect.finnish Object is locked saltado

D:\System Volume Information\protect.french Object is locked saltado

D:\System Volume Information\protect.german Object is locked saltado

D:\System Volume Information\protect.greek Object is locked saltado

D:\System Volume Information\protect.hebrew Object is locked saltado

D:\System Volume Information\protect.hungarian Object is locked saltado

D:\System Volume Information\protect.italian Object is locked saltado

D:\System Volume Information\protect.japanese Object is locked saltado

D:\System Volume Information\protect.korean Object is locked saltado

D:\System Volume Information\protect.norwegian Object is locked saltado

D:\System Volume Information\protect.polish Object is locked saltado

D:\System Volume Information\protect.portuguese Object is locked saltado

D:\System Volume Information\protect.portuguese brazilian Object is locked saltado

D:\System Volume Information\protect.russian Object is locked saltado

D:\System Volume Information\protect.spanish Object is locked saltado

D:\System Volume Information\protect.swedish Object is locked saltado

D:\System Volume Information\protect.turkish Object is locked saltado



Análisis completado.



Claro como no me deja conforme y me acorde que el antivirus online que yo pase fue el mcafee, lo voy a pasar y te posteo lo que entrego....



Bueno espero que me puedas ayudar :cry:

[lucl]

Bueno sobre esto



C:\Documents and Settings\Administrador\Escritorio\IshtaR\ELISTARA.A%D8%D8FB%D8%D8H.EXE Infectados: Trojan-Downloader.Win32.IstBar.ud



debes estar tranquila, el kapersky lo detecta como trojan pero es un falso positivo. Esto ocurre con algunas herramientas, con antivirus y demas pero son falsos positivos que no dañan el sistema, saludos

[KESIA]

Gracias por ressponder tan rapido :D .....



Bueno como no habia quedado conforme con el anterior antivirus pase el mcafee online....fue antes que me respondieran jejeje bueno lo pase y me salieron tres archivos infectados los que son:



C:\...\Adobe Audition 2.0 keygen.exe Spy-Agent.cj.gen.h

C:\WINDOWS\system32\ctfmonv.VIR3 W32/Autorun.worm.bo

C:\WINDOWS\system32\explorer.VIR2 W32/Autorun.worm.bo



Los dos ultimos ya los borre manualmente ya que eran las duplicaciones del anterior virus que tenia el cual lo habian eliminado el elitriip y elistarA, pero el primero no se que es y si me pueden ayudar se los agradeceria mucho..... :(



Bueno espero su respuesta muchas gracias por todo y sinceramente creo que cambiare el antivirus que tengo porque ultimamente no me ah servido para nada...ya que no detecta nada de nada.....esperando su ayuda me despido muy agradecida por todo... :wink:

[KESIA]

Hola:



Queria agregar en la mañana me di cuenta de algo.....se agrega un programa en la barra en donde se ponen las paginas que uno va abriendo al lado de icono de windows ( la como banderita) en fin es como si yo hubiera hechado a andar algun programa y se abrieran sus opciones, pero lo raro es qu no ahi nada cuando le clikeas ensima ya que pone la pantalla negra y luego apretas escape y se cierra y ya no sale nuevamente hasta un buen rato yo diria unas 6 horas mas o menos el icono k tiene es una pantalla como de computador y dentro tiene unos simbolos de varios colores es como un martillo, ojala me puedan ayudar...



me despido gracias por todo espero su respuesta....

[lucl]

Bueno vamos por partes cuando pasas elistara y elitriip debes pegarnos el log, veo que tenias los archivos renombrados a .VIR2????? Pasalos de nuevo y peganos el log completo por favor.



http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



y sobre el que esta aqui



C:\...\Adobe Audition 2.0 keygen.exe Spy-Agent.cj.gen.h



subelo a virustotal y veamos que resultado te da, nos pegas el log resultante tambien



http://www.virustotal.com



saludos

[KESIA]

Bueno pase el archivo a VirusTotal y me entrego lo siguiente:



Análisis del archivo Adobe_Audition_2.0_keygen.exe recibido el 08.06.2008 18:29:18 (CET)

Estado actual: análisis terminado



Resultado: 14/32 (43.75%)

Compactar Imprimir resultados



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.5.30.1 2008.06.05 -

AntiVir 7.8.0.55 2008.06.06 TR/PSWeric5.AFKC

Authentium 5.1.0.4 2008.06.08 -

Avast 4.8.1195.0 2008.06.08 Win32:Trojan-gen {Other}

AVG 7.5.0.516 2008.06.07 PSW.Generic5.AFKC

BitDefender 7.2 2008.06.08 -

CAT-QuickHeal 9.50 2008.06.07 -

ClamAV None 2008.06.08 -

DrWeb 4.44.0.09170 2008.06.08 -

eSafe 7.0.15.0 2008.06.05 suspicious Trojan/Worm

eTrust-Vet 31.6.5858 2008.06.08 -

Ewido 4.0 2008.06.08 Trojan.Agent.cj

F-Prot 4.4.4.56 2008.06.08 -

F-Secure 6.70.13260.0 2008.06.08 Suspicious:W32/Malware!Gemini

Fortinet 3.14.0.0 2008.06.08 -

GData 2.0.7306.1023 2008.06.08 Win32:Trojan-gen

Ikarus T3.1.1.26.0 2008.06.08 Trojan.PSWeric5.AFKC

Kaspersky 7.0.0.125 2008.06.08 -

McAfee 5312 2008.06.06 Spy-Agent.cj.gen.h

Microsoft 1.3604 2008.06.08 -

NOD32v2 3165 2008.06.06 -

Norman 5.80.02 2008.06.06 W32/Banker.CISF

Panda 9.0.0.4 2008.06.08 Trj/Sinowal.DW

Prevx1 V2 2008.06.08 Malicious Software

Rising 20.47.42.00 2008.06.06 -

Sophos 4.30.0 2008.06.08 Mal/Generic-A

Sunbelt 3.0.1145.1 2008.06.05 -

Symantec 10 2008.06.08 -

TheHacker 6.2.92.339 2008.06.07 -

VBA32 3.12.6.7 2008.06.08 -

VirusBuster 4.3.26:9 2008.06.08 -

Webwasher-Gateway 6.6.2 2008.06.08 Trojan.PSWeric5.AFKC

Información adicional

Tamano archivo: 60416 bytes

MD5...: 088e33ee7c527e9034f2c3db58199cb4

SHA1..: f3624f20cf022a89c616485b266d82f2c1fc7870

SHA256: 490ef392bfff5069e97a0cf688a0af090c1beb362969105d199bbfb8a41fe5f7

SHA512: bca2636ddd4ad9f8568232ca427c0cec76860f86441bc71648c47cdf59112618

64eac2255fbd078c57ee2f6266035a7c681927b14ee8312ae238690e7977fe5e

PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x424d30

timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x16000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x17000 0xe000 0xe000 7.93 5013b7af7518c58dac052024cd839922

.rsrc 0x25000 0x1000 0x800 3.64 709d08e056b6c9da2b131f20cc783bc1



( 6 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess

> advapi32.dll: RegCloseKey

> gdi32.dll: SetROP2

> msvcrt.dll: memset

> oleaut32.dll: SysFreeString

> user32.dll: GetDC



( 0 exports )



Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=50868EC5001F27E8ECE9002C1DE532008DF770EE

packers (Kaspersky): UPX

packers (F-Prot): UPX





En cuanto a los virus que les habia puesto la extension ya los borre manualmente pero igual dejo el infosat del elistarA y el elitrip ahi va:





Sun Jun 08 11:51:47 2008

EliStartPage v16.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Jun 08 11:51:58 2008

EliStartPage v16.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3137

Nº Total de Ficheros: 31162

Nº de Ficheros Analizados: 7845

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Jun 08 12:01:41 2008

EliTriIP v4.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Sun Jun 08 12:01:45 2008

EliTriIP v4.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3136

Nº Total de Ficheros: 31160

Nº de Ficheros Analizados: 7189

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Bueno espero respuesta gracias por todo :wink:

[lucl]

Pues ya sabes envianos el archivo en cuestion para analizarlo mañana e implementarlo en nuestra herramienta, saludos



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[KESIA]

Hola:

Disculpen no habia tenido tiempo para enviar el archivo...aqui lo mando y espero su respuesta....que esten muy biem gracias por su tiempo y ayuda... :wink:

[lucl]

Pues lo analizaran a lo largo del dia de hoy y se colgaran las utilidades mañana o asi, estate atenta al foro saludos

[KESIA]

Hola!



Pues bueno muchas grax por la ayuda anterior me preocupe de leer los temas y vi que habian actualizado las utilidades, las baje y scanie mi pc y borro el key loger....pero hoy tube que llevar mi notebook al instituto y creo que se le pegaron porquerias otra vez ya que tuve que ingresar una informacion de unos pendrive en fin estaba muy enojada....aqui posteo lo que me entrego el elistarA y elitriip....



Mon Jun 16 08:46:43 2008

EliStartPage v16.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Detectado AUTORUN.INF en la Unidad (F)

open=m88coaim.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Mon Jun 16 08:47:01 2008

EliStartPage v16.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 7

Nº Total de Ficheros: 42

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Jun 16 08:47:08 2008

EliStartPage v16.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 11

Nº Total de Ficheros: 68

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Jun 16 08:47:14 2008

EliStartPage v16.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 3

Nº Total de Ficheros: 9

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Jun 16 14:16:12 2008

EliStartPage v16.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO.EXE.Muestra EliStartPage v16.50

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AMVO.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO0.DLL.Muestra EliStartPage v16.50

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AMVO0.DLL --> Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Mon Jun 16 14:18:31 2008

EliStartPage v16.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3149

Nº Total de Ficheros: 31173

Nº de Ficheros Analizados: 7841

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Jun 16 14:24:20 2008

EliTriIP v4.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Mon Jun 16 14:24:24 2008

EliTriIP v4.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3148

Nº Total de Ficheros: 31173

Nº de Ficheros Analizados: 7182

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Jun 16 14:29:06 2008

EliStartPage v16.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\AMVO0.DLL.VIR --> Eliminado.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jun 16 14:29:54 2008

EliStartPage v16.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3117

Nº Total de Ficheros: 31081

Nº de Ficheros Analizados: 7809

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



No entendi bien puesto que cuando lo estaba pasando al principio me pidio enviar muestras de esos ficheros lo cuales luego elimino automaticamente.....bueno volvi a a prendern el pc luego de reiniciar y no me salia la barra de tareas pero si se habia activado automaticamente el elistarpage.....lo detube y salio la barra de tareas, a continuacion posteo el infosat que me dejaron las utilidades ahora que las volvi a pasar





Mon Jun 16 16:29:30 2008

EliStartPage v16.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jun 16 16:29:48 2008

EliStartPage v16.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3152

Nº Total de Ficheros: 31211

Nº de Ficheros Analizados: 7847

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Jun 16 16:34:12 2008

EliTriIP v4.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Mon Jun 16 16:34:17 2008

EliTriIP v4.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3151

Nº Total de Ficheros: 31202

Nº de Ficheros Analizados: 7188

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Bueno espero su respuesta mientras tanto, pasare un ativirus online y tambien el hijackthis....que esten muy bien chau :wink:

[lucl]

Nos tienes que enviar esto



Detectado AUTORUN.INF en la Unidad (F)

open=m88coaim.exe





y esto



Por favor, envienos una muestra del fichero

C:\Muestras\AMVO.EXE.Muestra EliStartPage v16.50



Por favor, envienos una muestra del fichero

C:\Muestras\AMVO0.DLL.Muestra EliStartPage v16.50



sigue las instrucciones del link para ello



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y vacuna tu pc con elipen



http://www.zonavirus.com/descargas/elipen.asp



saludos

[KESIA]

Enviados archivos, ahora pasare el elipen para vacunar mi pc, espero su respuesta muchas gracias por todo....



Hasta pronto.... :wink:

[KESIA]

Bueno antes de salirme se me ocurrio pasar el hijackthis y este fue el log que me entrego:





Logfile of HijackThis v1.99.1

Scan saved at 17:25:20, on 16/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20583)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LightScribeControlPanel.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe

C:\Archivos de programa\SiteAdvisor\6261\SAService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zonavirus.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [Flashget] "C:\Archivos de programa\FlashGet\FlashGet.exe" /min

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe"

O4 - HKLM\..\Run: [SiteAdvisor] "C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Archivos de programa\Archivos comunes\LightScribe\LightScribeControlPanel.exe -hidden

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O8 - Extra context menu item: &Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: &Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Administrador\Menú Inicio\Programas\IMVU\Run IMVU.lnk (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://cp.correos.cl/correos_cp/soporte_web/consulta_web/versionphp2006/pagina_interior/codigo_postal/consulta_web/cab_mapg/mgaxctrl.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {CA11EB7C-1C85-4577-8A49-9E28EFB30184} (UMediaPlayer Class) - http://www.umediaserver.net/bin/UMediaControl4.cab

O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5312/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{91FC9BE3-88D0-4709-9DA2-4852EA41AF21}: NameServer = 200.28.4.129 200.28.4.130

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Servicio SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Archivos de programa\SiteAdvisor\6261\SAService.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\WINDOWS\system32\DRIVERS\xaudio.exe



Por otra parte, pase el elipen y decia que mis puertos ya estaban protegidos....lo que pasa es previamente lo habia descargado y habia protegido ya los puertos del notebook....bueno eso gracias por todo espero su respuesta desde ya muchas gracias por todo y por su tiempo...chau :wink:

[msc hotline sat]

En el log que has posteado solo cabe eliminar esta clave:



O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Administrador\Menú Inicio\Programas\IMVU\Run IMVU.lnk (file missing)



recuerda:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms,. 17-06-2008

[msc hotline sat]

Los archivos enviados son de la familia del ONLINE GAMES, que pasaremos a controlar con el ELISTARA tan pronto entre en proceso (está en cola)



Posiblemente se incluya en la version de mañana



saludos



ms, 17-06-2008

[msc hotline sat]

Efectivamente , eran nuevas versiones de ONLINE GAME que pasamos a controlar con la veriosn del ELISTARA de hoy 16.53


[quote][b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 18-06-2008

[KESIA]

Hola !

Tanto tiempo, :mrgreen: no habia podido entrar jiji espero me disculpen porque se me olvido pedir que cerraran el post... :oops: ahora quiero consultarles algo pero lo hare en un post nuevo...



De antemano muchas gracias por todo...saludos :D

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



saludos



ms, 5-7-2010