Log HJ. Ayuda, por fa!! :S (SOLUCIONADO)

annycosa · Mensaje por **annycosa** » 30 Jun 2008, 16:56

Hola!!

Bueno, no sé qué es lo que le pasa realmente a esta PC... El IE tiene problemas para abrir algunas páginas, y para habilitar los cookies... y no se diga de los pop-ups (por eso tuve que bajar el Firefox, pero aún así hay problemas cargando algunas páginas) según el antivirus (AVG v8) no hay nada malo, ni el Ad-Aware SE Personal me detecta nada de cuidado... también le pasé el Spybot Search & Destroy, y nada... tampoco el RogueRemover encuentra nada :/ Entonces no sé qué pasa!

Bueno, aquí les pongo el log que me dio el HJT.

Gracias de antemano!!! Muchas gracias!!!

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:09:59, on 30.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Programfiler\CA\SharedComponents\CA_LIC\LogWatN T.exe

C:\WINDOWS\system32\PSIService.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\mHotkey.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programfiler\D-Link\AirPlus G\AirGCFG.exe

C:\Programfiler\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\V0220Mon.exe

C:\Programfiler\Creative\Creative Live! Cam\VideoFX\StartFX.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 9.exe

C:\Programfiler\Fellesfiler\InstallShield\UpdateSe rvice\issch.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\Programfiler\Java\jre1.6.0_06\bin\jusched.exe

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programfiler\Internet Explorer\iexplore.exe

C:\Programfiler\AVG\AVG8\avgscanx.exe

C:\Programfiler\Internet Explorer\iexplore.exe

C:\Programfiler\Mozilla Firefox\firefox.exe

C:\Documents and settings\Odd Gabriel Grødal\Skrivebord\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsiden.no/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.no/0SENBNO/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O1 - Hosts: 89.149.227.153 boveda.banamex.com.mx

O1 - Hosts: 89.149.227.153 http://www.boveda.banamex.com.mx

O1 - Hosts: 89.149.227.153 bancanetempresarial.banamex.com.mx

O1 - Hosts: 89.149.227.153 http://www.bancanetempresarial.banamex.com.mx

O1 - Hosts: 89.149.227.153 http://www.banamex.com.mx

O1 - Hosts: 89.149.227.153 banamex.com.mx

O1 - Hosts: 89.149.227.153 http://www.banamex.com

O1 - Hosts: 89.149.227.153 banamex.com

O1 - Hosts: 89.149.227.153 http://www.hacktheworld.com

O3 - Toolbar: Gana Buscando Toolbar - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFF2D1F} - C:\Programfiler\Toolbar GB\Gana Buscando Toolbar\gana_buscando.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programfiler\D-Link\AirPlus G\AirGCFG.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programfiler\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [V0220Mon.exe] C:\WINDOWS\V0220Mon.exe

O4 - HKLM\..\Run: [AVFX Engine] C:\Programfiler\Creative\Creative Live! Cam\VideoFX\StartFX.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 9.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FELLES~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programfiler\Fellesfiler\InstallShield\UpdateS ervice\issch.exe" -start

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programfiler\Java\jre1.6.0_06\bin\jusched. exe"

O4 - HKLM\..\Run: [fc095647] rundll32.exe "C:\WINDOWS\system32\tgoooxcv.dll",b

O4 - HKLM\..\Run: [BMff3a65db] Rundll32.exe "C:\WINDOWS\system32\blpaukmk.dll",s

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Tracks Eraser] C:\Programfiler\Tracks Eraser\te.exe min

O4 - HKLM\..\Policies\Explorer\Run: [homepage.monitor.exe] C:\Programfiler\IntCodec\isamonitor.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETTVERKSTJENESTE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/

O16 - DPF: All-Star Football Challenge by pogo - http://game3.pogo.com/v/9.0.1.7/applet/allstarfb2/allstarfb2-en_US.cab

O16 - DPF: Big Shot Roulette TM by pogo - http://game3.pogo.com/v/9.0.1.7/applet/roulette/roulette-en_US.cab

O16 - DPF: Bingo Luau by pogo - http://game3.pogo.com/v/9.0.1.7/applet/freebingo/freebingo-en_US.cab

O16 - DPF: Dice City Roller by pogo - http://game3.pogo.com/v/9.0.1.7/applet/ytz/ytz-en_US.cab

O16 - DPF: Dice Derby by pogo - http://game3.pogo.com/v/9.0.1.14/applet/checkeredflag/checkeredflag-en_US.cab

O16 - DPF: EA Sports Web Soccer by pogo - http://game3.pogo.com/v/9.0.1.7/applet/soccer/soccer-en_US.cab

O16 - DPF: Fortune Bingo by pogo - http://game3.pogo.com/v/9.0.1.7/applet/superbingo/superbingo-en_US.cab

O16 - DPF: Its Outta Here 2 by pogo - http://game3.pogo.com/v/9.0.1.7/applet/itsoutofhere/itsoutofhere-en_US.cab

O16 - DPF: Keno by pogo - http://game3.pogo.com/v/9.0.1.7/applet/keno/keno-en_US.cab

O16 - DPF: KenoPop! by pogo - http://game3.pogo.com/v/9.0.1.9/applet/speedkeno/speedkeno-en_US.cab

O16 - DPF: Lottso by pogo - http://game3.pogo.com/v/9.0.1.7/applet/lottso/lottso-en_US.cab

O16 - DPF: NASCAR Web Racing by pogo - http://game3.pogo.com/v/9.0.1.7/applet/nascar/nascar-en_US.cab

O16 - DPF: No-Limit Texas Hold'em by pogo - http://game3.pogo.com/v/9.0.1.14/applet/allin/allin-en_US.cab

O16 - DPF: Perfect Pair Solitaire by pogo - http://game3.pogo.com/v/9.0.1.7/applet/waterwheel/waterwheel-en_US.cab

O16 - DPF: Phlinx by pogo - http://game3.pogo.com/v/9.0.1.7/applet/flinger/flinger-en_US.cab

O16 - DPF: Ride The Tide by pogo - http://game3.pogo.com/v/9.0.1.23/applet/ride/ride-en_US.cab

O16 - DPF: Texas Hold'em Poker by pogo - http://game3.pogo.com/v/9.0.1.14/applet/holdem/holdem-en_US.cab

O16 - DPF: Top Down Baseball Challenge by pogo - http://game3.pogo.com/v/9.0.1.7/applet/topdown2/topdown2-en_US.cab

O16 - DPF: Vert Skater by pogo - http://game3.pogo.com/v/9.0.1.7/applet/vertskater/vertskater-en_US.cab

O16 - DPF: Word Whomp by pogo - http://game3.pogo.com/v/9.0.1.7/applet/wordwhomp2/whomp2-en_US.cab

O16 - DPF: Yahoo! Chess - http://origin.games.yahoo.net/games/clients/y/ct5_x.cab

O16 - DPF: Yahoo! Dominoes - http://origin.games.yahoo.net/games/clients/y/dot9_x.cab

O16 - DPF: Yahoo! Graffiti - http://origin.games.yahoo.net/games/clients/y/grt5_x.cab

O16 - DPF: Yahoo! Pool 2 - http://origin.games.yahoo.net/games/clients/y/poti_x.cab

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} - http://www.miniclip.com/puzzlepirates/miniclipGameLoader.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programfiler\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://nei-idiot.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-MX/a-UNO1/GAME_UNO1.cab

O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows/Initial/VideoEggPublisher.exe

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programfiler\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll nchqmqrx.dll qubuehjg.dll qocqittl.dll

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\Programfiler\CA\SharedComponents\CA_LIC\lic98rm t.exe

O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\Programfiler\CA\SharedComponents\CA_LIC\lic98rm td.exe

O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programfiler\CA\SharedComponents\CA_LIC\LogWatN T.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

--

End of file - 10723 bytes

Mensaje por **msc hotline sat** » 30 Jun 2008, 17:13

Tienes configurado el HOSTS redireccionando los acceso a BANAMEX hacia webs maliciosos:

O1 - Hosts: 89.149.227.153 boveda.banamex.com.mx

O1 - Hosts: 89.149.227.153 http://www.boveda.banamex.com.mx

O1 - Hosts: 89.149.227.153 bancanetempresarial.banamex.com.mx

O1 - Hosts: 89.149.227.153 http://www.bancanetempresarial.banamex.com.mx

O1 - Hosts: 89.149.227.153 http://www.banamex.com.mx

O1 - Hosts: 89.149.227.153 banamex.com.mx

O1 - Hosts: 89.149.227.153 http://www.banamex.com

O1 - Hosts: 89.149.227.153 banamex.com

O1 - Hosts: 89.149.227.153 http://www.hacktheworld.com

elimina las claves arriba indicadas, pues conducen a:

89.149.227.153 DE Germany 05 Hessen Frankfurt Am Main 50.1167 8.6833 NetDirect netdirekt e.K.

Aparte prueba el ELISTARA :

[quote]
~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

y si no detectara ni pidiera muestra de los siguientes sospechosos, envianoslos para analizar:

C:\WINDOWS\system32\tgoooxcv.dll

C:\WINDOWS\system32\blpaukmk.dll

C:\WINDOWS\system32\ctfmon.exe

C:\Programfiler\Tracks Eraser\te.exe min

C:\Programfiler\IntCodec\isamonitor.exe

y estos ficheros que puedes buscar con un INICIO -> BUSCAR : nchqmqrx.dll qubuehjg.dll qocqittl.dll

para ello, recuerda:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 30-06-2008

annycosa · Mensaje por **annycosa** » 01 Jul 2008, 13:01

Mon Jun 30 19:01:58 2008

EliStartPage v16.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\MLJDSQHA] -> C:\WINDOWS\SYSTEM32\mlJDsQHa.dll

Entrada Eliminada [HKLM\...\Run] "fc095647"="rundll32.exe "C:\WINDOWS\system32\tgoooxcv.dll",b" (Vundo)

Entrada Eliminada [HKLM\...\Run] "BMff3a65db"="Rundll32.exe "C:\WINDOWS\system32\blpaukmk.dll",s" (Vundo)

[WinLogon\Notify\MLJDSQHA]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\MLJDSQHA.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\MLJDSQHA.DLL.Muestra EliStartPage v16.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MLJDSQHA.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\TGOOOXCV.DLL.Muestra EliStartPage v16.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TGOOOXCV.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\BLPAUKMK.DLL.Muestra EliStartPage v16.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\BLPAUKMK.DLL --> Renombrado a .VIR

C:\WINDOWS\PSKT.INI --> Eliminado (Fichero Complementario).

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Mon Jun 30 19:10:07 2008

EliStartPage v16.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Programfiler\AvRack\CLASSIC.DLL --> Eliminado, FraudTool.Agent.D

C:\Programfiler\CoffeeCup Software\COFFEE.EXE --> Infectado, ErrorSafe

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP849\A0309568.DLL --> Eliminado, MyWebSearch

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP849\A0309569.DLL --> Eliminado, MyWebSearch

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP851\A0309882.DLL --> Eliminado, Vundo5

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP853\A0310900.DLL --> Eliminado, FraudTool.Agent.D

Nº Total de Directorios: 5951

Nº Total de Ficheros: 82941

Nº de Ficheros Analizados: 17431

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 5

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\QOMDDBQR.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Mon Jun 30 20:03:17 2008

EliStartPage v16.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\MLJDSQHA] -> C:\WINDOWS\SYSTEM32\mlJDsQHa.dll

Entrada Eliminada [HKLM\...\Run] "BMff3a65db"="Rundll32.exe "C:\WINDOWS\system32\blpaukmk.dll",s" (Vundo)

[WinLogon\Notify\MLJDSQHA]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\MLJDSQHA.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\MLJDSQHA.DLL.Muestra EliStartPage v16.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MLJDSQHA.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\QOMDDBQR.DLL.Muestra EliStartPage v16.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\QOMDDBQR.DLL --> Renombrado a .VIR

Eliminada Class, "{5E17DB56-B0C7-4DF9-AD25-B8644A3625A7}" -> C:\WINDOWS\system32\qoMddBqR.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Mon Jun 30 20:04:29 2008

EliStartPage v16.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Programfiler\CoffeeCup Software\COFFEE.EXE --> Eliminado, ErrorSafe

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP801\A0301799.EXE --> Eliminado, mIRC(chat)

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP809\A0302947.EXE --> Eliminado, mIRC(chat)

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP832\A0305262.EXE --> Eliminado, mIRC(chat)

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP853\A0310902.EXE --> Eliminado, ErrorSafe

Nº Total de Directorios: 5947

Nº Total de Ficheros: 82922

Nº de Ficheros Analizados: 17412

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\QOMDDBQR.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\mlJDsQHa.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\MLJDSQHA"

Detectado Vundo9

Elininada Class {5E17DB56-B0C7-4DF9-AD25-B8644A3625A7}

Elininado BHO {5E17DB56-B0C7-4DF9-AD25-B8644A3625A7}

Desinstalado EliNotif.dll

Tue Jul 01 12:03:04 2008

EliStartPage v16.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "BMff3a65db"="Rundll32.exe "C:\WINDOWS\system32\blpaukmk.dll",s" (Vundo)

C:\WINDOWS\SYSTEM32\BLPAUKMK.DLL.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\QOMDDBQR.DLL.VIR --> Eliminado.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 01 12:03:47 2008

EliStartPage v16.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and settings\Odd Gabriel Grødal\Mine dokumenter\MIRC631.EXE --> Eliminado, mIRC(chat)

Nº Total de Directorios: 5948

Nº Total de Ficheros: 82993

Nº de Ficheros Analizados: 17405

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Mensaje por **msc hotline sat** » 01 Jul 2008, 16:04

Pues no todos los VUNDO 9 son iguales !, y este parece que lo hemos podido eliminar facilmente:

EliStartPage v16.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "BMff3a65db"="Rundll32.exe "C:\WINDOWS\system32\blpaukmk.dll",s" (Vundo)

C:\WINDOWS\SYSTEM32\BLPAUKMK.DLL.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\QOMDDBQR.DLL.VIR --> Eliminado

Tras reiniciar mira si persiste algun problema o ya podemos dar por solucionado el Tema

saludos

ms, 1 de Julio de 2008

Mensaje por **msc hotline sat** » 02 Jul 2008, 09:58

Y en las muestras que nos ha enviado hay nuevas variantes de Vundo, de Juan Search, de COnHook... wque pasamos a controlar con la nueva veriosn de hoy del ELISTARA 16.62

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 2 de Julio de 2008

annycosa · Mensaje por **annycosa** » 02 Jul 2008, 10:08

Hola! Qué tal?

Pues sí, todo ha mejorado... vaya que sí! Muchas gracias, son los mejores!!! Todo está mucho mejor, más rápido, ahora cargan todas las páginas... bueno, TODO está mejor!!!

Ahora sólo me falta probar la nueva versión del ELISTARA... tendrás el link de descarga?

MUCHAS GRACIAS POR TODO!!!!!!!! =D

Aprecio verdaderamente la ayuda! =)

Y pues sí, creo que ya se puede dar por SOLUCIONADO el tema! =D

Mensaje por **msc hotline sat** » 02 Jul 2008, 14:23

El link siempre es el mismo, pues las nuevas versiones sustituyen a las anteriores en la misma ubicacion:

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 2 de Julio de 2008

annycosa · Mensaje por **annycosa** » 03 Jul 2008, 22:57

Hola!! Qué tal?

Ya me bajé la nueva versión de Elistara... preguntaba por el link porque el día que vi esa página para descargarla, decía que aún era la versión 16.61 =P

Aquí pego el log...

Parece que todo está bien, no?

Mil gracias!!!!!

PS. Dónde puedo conseguir un banner suyo para poner un link en mi página?

Nuevamente, Gracias!!! :D

Mon Jun 30 19:01:58 2008

EliStartPage v16.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\MLJDSQHA] -> C:\WINDOWS\SYSTEM32\mlJDsQHa.dll

Entrada Eliminada [HKLM\...\Run] "fc095647"="rundll32.exe "C:\WINDOWS\system32\tgoooxcv.dll",b" (Vundo)

Entrada Eliminada [HKLM\...\Run] "BMff3a65db"="Rundll32.exe "C:\WINDOWS\system32\blpaukmk.dll",s" (Vundo)

[WinLogon\Notify\MLJDSQHA]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\MLJDSQHA.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\MLJDSQHA.DLL.Muestra EliStartPage v16.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MLJDSQHA.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\TGOOOXCV.DLL.Muestra EliStartPage v16.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TGOOOXCV.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\BLPAUKMK.DLL.Muestra EliStartPage v16.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\BLPAUKMK.DLL --> Renombrado a .VIR

C:\WINDOWS\PSKT.INI --> Eliminado (Fichero Complementario).

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Mon Jun 30 19:10:07 2008

EliStartPage v16.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Programfiler\AvRack\CLASSIC.DLL --> Eliminado, FraudTool.Agent.D

C:\Programfiler\CoffeeCup Software\COFFEE.EXE --> Infectado, ErrorSafe

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP849\A0309568.DLL --> Eliminado, MyWebSearch

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP849\A0309569.DLL --> Eliminado, MyWebSearch

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP851\A0309882.DLL --> Eliminado, Vundo5

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP853\A0310900.DLL --> Eliminado, FraudTool.Agent.D

Nº Total de Directorios: 5951

Nº Total de Ficheros: 82941

Nº de Ficheros Analizados: 17431

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 5

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\QOMDDBQR.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Mon Jun 30 20:03:17 2008

EliStartPage v16.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\MLJDSQHA] -> C:\WINDOWS\SYSTEM32\mlJDsQHa.dll

Entrada Eliminada [HKLM\...\Run] "BMff3a65db"="Rundll32.exe "C:\WINDOWS\system32\blpaukmk.dll",s" (Vundo)

[WinLogon\Notify\MLJDSQHA]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\MLJDSQHA.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\MLJDSQHA.DLL.Muestra EliStartPage v16.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MLJDSQHA.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\QOMDDBQR.DLL.Muestra EliStartPage v16.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\QOMDDBQR.DLL --> Renombrado a .VIR

Eliminada Class, "{5E17DB56-B0C7-4DF9-AD25-B8644A3625A7}" -> C:\WINDOWS\system32\qoMddBqR.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Mon Jun 30 20:04:29 2008

EliStartPage v16.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Programfiler\CoffeeCup Software\COFFEE.EXE --> Eliminado, ErrorSafe

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP801\A0301799.EXE --> Eliminado, mIRC(chat)

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP809\A0302947.EXE --> Eliminado, mIRC(chat)

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP832\A0305262.EXE --> Eliminado, mIRC(chat)

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP853\A0310902.EXE --> Eliminado, ErrorSafe

Nº Total de Directorios: 5947

Nº Total de Ficheros: 82922

Nº de Ficheros Analizados: 17412

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\QOMDDBQR.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\mlJDsQHa.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\MLJDSQHA"

Detectado Vundo9

Elininada Class {5E17DB56-B0C7-4DF9-AD25-B8644A3625A7}

Elininado BHO {5E17DB56-B0C7-4DF9-AD25-B8644A3625A7}

Desinstalado EliNotif.dll

Tue Jul 01 12:03:04 2008

EliStartPage v16.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "BMff3a65db"="Rundll32.exe "C:\WINDOWS\system32\blpaukmk.dll",s" (Vundo)

C:\WINDOWS\SYSTEM32\BLPAUKMK.DLL.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\QOMDDBQR.DLL.VIR --> Eliminado.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 01 12:03:47 2008

EliStartPage v16.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and settings\Odd Gabriel Grødal\Mine dokumenter\MIRC631.EXE --> Eliminado, mIRC(chat)

Nº Total de Directorios: 5948

Nº Total de Ficheros: 82993

Nº de Ficheros Analizados: 17405

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Tue Jul 01 15:16:24 2008

EliStartPage v16.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Thu Jul 03 13:40:10 2008

EliStartPage v16.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{30BEDFC8-3BFF-4AF8-BF23-89DECAD769AD}" -> C:\WINDOWS\system32\mlJDsQHa.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 03 13:41:06 2008

EliStartPage v16.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and settings\Odd Gabriel Grødal\Programdata\mIRC\downloads\muestras\NCHQMQRX.DLL --> Eliminado, JuanSearch(BHO)

C:\Documents and settings\Odd Gabriel Grødal\Programdata\mIRC\downloads\muestras\QOCQITTL.DLL --> Eliminado, JuanSearch(BHO)

C:\Documents and settings\Odd Gabriel Grødal\Programdata\mIRC\downloads\muestras\QUBUEHJG.DLL --> Eliminado, JuanSearch(BHO)

C:\Documents and settings\Odd Gabriel Grødal\Programdata\mIRC\downloads\muestras\Muestras\BLPAUKMK.DLL.MUESTRA ELISTARTPAGE V16.60 --> Eliminado, Vundo5

C:\Documents and settings\Odd Gabriel Grødal\Programdata\mIRC\downloads\muestras\Muestras\MLJDSQHA.DLL.MUESTRA ELISTARTPAGE V16.60 --> Eliminado, DownLoader.ConHook(notify)

C:\Documents and settings\Odd Gabriel Grødal\Programdata\mIRC\downloads\muestras\Muestras\QOMDDBQR.DLL.MUESTRA ELISTARTPAGE V16.60 --> Eliminado, Vundo9

C:\Documents and settings\Odd Gabriel Grødal\Programdata\mIRC\downloads\muestras\Muestras\TGOOOXCV.DLL.MUESTRA ELISTARTPAGE V16.60 --> Eliminado, Vundo5

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP853\A0310897.DLL --> Eliminado, Vundo5

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP853\A0310898.DLL --> Eliminado, Vundo5

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP853\A0310901.DLL --> Eliminado, Vundo9

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP853\A0310906.DLL --> Eliminado, DownLoader.ConHook(notify)

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP856\A0314963.DLL --> Eliminado, JuanSearch(BHO)

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP856\A0314964.DLL --> Eliminado, JuanSearch(BHO)

C:\System Volume Information\_restore{743EAF19-29C0-4963-B165-BA96EC0F0EC0}\RP856\A0314965.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\GYVHOSOA.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\NCHQMQRX.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\QOCQITTL.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\QUBUEHJG.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\TGOOOXCV.DLL.VIR --> Eliminado, Vundo5

C:\WinLogon\MLJDSQHA.DLL --> Eliminado, DownLoader.ConHook(notify)

Nº Total de Directorios: 6168

Nº Total de Ficheros: 92511

Nº de Ficheros Analizados: 23540

Nº de Ficheros Infectados: 20

Nº de Ficheros Limpiados: 20

Mensaje por **lucl** » 03 Jul 2008, 23:20

Pues si, te ha eliminado todos los virus, confirma que tu pc esta bien gracias saludos

annycosa · Mensaje por **annycosa** » 04 Jul 2008, 20:01

Sí, sí, ha eliminado todo!!! n.n Y la PC está mucho mejor! Sin problemas!!!

Ah, una duda, cuando se estaba ejecutando el ELISTARA, mandó una alerta diciendo que no se tiene acceso a tal carpeta... Eso a qué se debe? o.O Cómo le doy acceso?

Gracias por todo!!!

Mensaje por **lucl** » 04 Jul 2008, 21:31

Depende de a que carpeta se refiriera, si recuerdas cual es dinoslo por favor, gracias saludos

annycosa · Mensaje por **annycosa** » 06 Jul 2008, 23:20

Síp, es la carpeta C:/Documents and settings/Ann Elin Gr�Programdata y la otra es similar... sólo que en la carpeta de otro usuario...

Mensaje por **msc hotline sat** » 07 Jul 2008, 05:05

Son carpetas protegidas, a las que no se tiene acceso, y se informa a titulo de saber donde no se ha mirado, por si persistiera el problema, que no es el caso segun indica.

Y por ello damos por solucionado el Tema y procedemos a cerrarlo

Si nos necesitara de nuevo, ya sabe donde estamos

saludos

ms, 7-07-2008

Log HJ. Ayuda, por fa!! :S (SOLUCIONADO)

Log HJ. Ayuda, por fa!! :S (SOLUCIONADO)

Re: Log HJ. Ayuda, por fa!! :S

Re: Log HJ. Ayuda, por fa!! :S

Re: Log HJ. Ayuda, por fa!! :S

Re: Log HJ. Ayuda, por fa!! :S

Re: Log HJ. Ayuda, por fa!! :S

Re: Log HJ. Ayuda, por fa!! :S

Re: Log HJ. Ayuda, por fa!! :S

Re: Log HJ. Ayuda, por fa!! :S

Re: Log HJ. Ayuda, por fa!! :S

Re: Log HJ. Ayuda, por fa!! :S

Re: Log HJ. Ayuda, por fa!! :S

Re: Log HJ. Ayuda, por fa!! :S