Trojan Mondera que no puedo eliminar (SOLUCIUONADO)

kalinkimo · Mensaje por **kalinkimo** » 09 Jul 2008, 17:14

Hola, espero no haber repetido tema.

Tengo un problema con unos virus los cuales tras ser eliminados con el antivirus vuelven a aparecer, aunque no con el mismo nombre pero si el mismo tipo de virus. El antivirus los reconoce como Trojan.Mondera.

Anexo el informe de resultados del antivirus.

He mandado tambien una muestra de los archivos con el virus a zonavirus@satinfo.es (estos los obtuve del ultimo analisis que hice, ya que elegi no eliminar los archivos infectados).

Espero me puedan ayudar, gracias.

INFORME DE RESULTADOS

Wed Jul 02 00:50:48 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad C:\ Protegida

Unidad D:\ Protegida

Unidad E:\ Protegida

Unidad F:\ Protegida

Wed Jul 02 00:53:03 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad C:\ YA esta Protegida

Unidad D:\ YA esta Protegida

Unidad E:\ YA esta Protegida

Unidad F:\ YA esta Protegida

Mon Jul 07 13:07:32 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 07 13:08:43 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Acrobat 8.0\Designer 8.0\ES\CONVERTWORD.DLL --> Eliminado, BlackStone(BHO)

C:\Archivos de programa\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

C:\Documents and Settings\Administrador\RVON.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\RWTI.EXE --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\KUQUKBJ.EXE --> Acceso Denegado, Trojan.Mondera (Reiniciar para Completar la Limpieza)

Nº Total de Directorios: 6527

Nº Total de Ficheros: 97155

Nº de Ficheros Analizados: 36194

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 4

Mon Jul 07 13:35:52 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 882

Nº Total de Ficheros: 17560

Nº de Ficheros Analizados: 1328

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Jul 07 13:38:21 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\PC INSTALL\Quick Time\QUICKTIMEINSTALLER 70350.EXE --> Eliminado, PWCrack-Pwdump(dropper)

Nº Total de Directorios: 557

Nº Total de Ficheros: 6403

Nº de Ficheros Analizados: 767

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Mon Jul 07 13:40:29 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

F:\00 Install\Quick Time\QUICKTIMEINSTALLER 70350.EXE --> Eliminado, PWCrack-Pwdump(dropper)

Nº Total de Directorios: 2453

Nº Total de Ficheros: 29996

Nº de Ficheros Analizados: 1608

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Mon Jul 07 13:52:23 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 07 13:52:34 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 883

Nº Total de Ficheros: 17561

Nº de Ficheros Analizados: 1328

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Jul 07 13:55:18 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\System Volume Information\_restore{400B184E-24E8-4071-A5C7-A912974A48D4}\RP42\A0022148.EXE --> Eliminado, PWCrack-Pwdump(dropper)

Nº Total de Directorios: 558

Nº Total de Ficheros: 6404

Nº de Ficheros Analizados: 767

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Mon Jul 07 13:57:04 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

F:\System Volume Information\_restore{400B184E-24E8-4071-A5C7-A912974A48D4}\RP42\A0022149.EXE --> Eliminado, PWCrack-Pwdump(dropper)

Nº Total de Directorios: 2453

Nº Total de Ficheros: 29996

Nº de Ficheros Analizados: 1608

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Mon Jul 07 14:00:35 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Nº Total de Directorios: 558

Nº Total de Ficheros: 6403

Nº de Ficheros Analizados: 766

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Jul 07 14:01:13 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\HFPGV.EXE --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\KUQUKBJ.EXE.VIR --> Eliminado, Trojan.Mondera

Nº Total de Directorios: 6526

Nº Total de Ficheros: 97168

Nº de Ficheros Analizados: 36192

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Mon Jul 07 23:16:26 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 07 23:26:05 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 07 23:26:15 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\FWNG.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\QLG.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\SQIOFE.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\TQUB.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\WKVO.EXE --> Eliminado, Trojan.Mondera

Nº Total de Directorios: 6530

Nº Total de Ficheros: 97239

Nº de Ficheros Analizados: 36198

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5

Mon Jul 07 23:59:19 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 07 23:59:31 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 883

Nº Total de Ficheros: 17562

Nº de Ficheros Analizados: 1329

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 00:02:08 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Nº Total de Directorios: 558

Nº Total de Ficheros: 6404

Nº de Ficheros Analizados: 766

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 00:05:20 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Nº Total de Directorios: 2455

Nº Total de Ficheros: 30019

Nº de Ficheros Analizados: 1607

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 00:08:44 2008

EliTriIP v4.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Jul 08 00:08:53 2008

EliTriIP v4.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6528

Nº Total de Ficheros: 97233

Nº de Ficheros Analizados: 34990

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 00:17:18 2008

EliTriIP v4.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\JUEGOS\super nintendo emulation pc (zsnes_1 36+22_jeux).exe --> Eliminado, Bifrose(dropper)

Nº Total de Directorios: 883

Nº Total de Ficheros: 17562

Nº de Ficheros Analizados: 1531

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Tue Jul 08 00:18:29 2008

EliTriIP v4.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Nº Total de Directorios: 558

Nº Total de Ficheros: 6404

Nº de Ficheros Analizados: 1056

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 00:19:17 2008

EliTriIP v4.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Nº Total de Directorios: 2455

Nº Total de Ficheros: 30019

Nº de Ficheros Analizados: 1555

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 00:21:50 2008

EliLeslie v1.1 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Jul 08 00:21:54 2008

EliLeslie v1.1 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Jul 08 00:24:23 2008

EliLeslie v1.1 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Tue Jul 08 00:26:25 2008

EliLeslie v1.1 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Tue Jul 08 00:26:39 2008

EliLeslie v1.1 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Tue Jul 08 00:30:31 2008

EliTriIP v4.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Jul 08 00:30:50 2008

EliTriIP v4.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6532

Nº Total de Ficheros: 97243

Nº de Ficheros Analizados: 34995

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 00:55:11 2008

EliTriIP v4.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\System Volume Information\_restore{400B184E-24E8-4071-A5C7-A912974A48D4}\RP42\A0022224.exe --> Eliminado, Bifrose(dropper)

Nº Total de Directorios: 883

Nº Total de Ficheros: 17563

Nº de Ficheros Analizados: 1531

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Tue Jul 08 00:57:56 2008

EliTriIP v4.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Nº Total de Directorios: 558

Nº Total de Ficheros: 6404

Nº de Ficheros Analizados: 1056

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 01:00:15 2008

EliTriIP v4.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Nº Total de Directorios: 2455

Nº Total de Ficheros: 30020

Nº de Ficheros Analizados: 1555

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 09:57:03 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 08 09:57:14 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\HKPE.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\SOWTGC.EXE --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\JGPCY.EXE --> Acceso Denegado, Trojan.Mondera (Reiniciar para Completar la Limpieza)

Nº Total de Directorios: 6537

Nº Total de Ficheros: 97314

Nº de Ficheros Analizados: 36204

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 2

Tue Jul 08 10:20:14 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 883

Nº Total de Ficheros: 17562

Nº de Ficheros Analizados: 1328

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 10:21:44 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 883

Nº Total de Ficheros: 17562

Nº de Ficheros Analizados: 1328

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 10:22:24 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Nº Total de Directorios: 558

Nº Total de Ficheros: 6404

Nº de Ficheros Analizados: 766

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 10:23:55 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Nº Total de Directorios: 2455

Nº Total de Ficheros: 30019

Nº de Ficheros Analizados: 1607

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 10:28:26 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 10:28:31 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 10:38:49 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 08 10:39:02 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\NEJPAOE.EXE --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\JGPCY.EXE.VIR --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\TLJWAPV.EXE --> Acceso Denegado, Trojan.Mondera (Reiniciar para Completar la Limpieza)

Nº Total de Directorios: 6540

Nº Total de Ficheros: 97366

Nº de Ficheros Analizados: 36205

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 2

Tue Jul 08 11:18:04 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 08 11:18:17 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\VUSLPUK.EXE --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\TLJWAPV.EXE.VIR --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\TPUWFUK.EXE --> Acceso Denegado, Trojan.Mondera (Reiniciar para Completar la Limpieza)

Nº Total de Directorios: 6538

Nº Total de Ficheros: 97343

Nº de Ficheros Analizados: 36208

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 2

Tue Jul 08 11:51:20 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 08 11:51:28 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\TPUWFUK.EXE.VIR --> Eliminado, Trojan.Mondera

Nº Total de Directorios: 6538

Nº Total de Ficheros: 97325

Nº de Ficheros Analizados: 36205

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Tue Jul 08 12:04:26 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 883

Nº Total de Ficheros: 17562

Nº de Ficheros Analizados: 1328

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 12:06:03 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Nº Total de Directorios: 558

Nº Total de Ficheros: 6404

Nº de Ficheros Analizados: 766

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 12:08:09 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Nº Total de Directorios: 2455

Nº Total de Ficheros: 30019

Nº de Ficheros Analizados: 1607

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 12:11:19 2008

EliTriIP v4.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Jul 08 12:11:22 2008

EliTriIP v4.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6538

Nº Total de Ficheros: 97326

Nº de Ficheros Analizados: 35000

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 12:19:40 2008

EliTriIP v4.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 883

Nº Total de Ficheros: 17562

Nº de Ficheros Analizados: 1530

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 12:20:37 2008

EliTriIP v4.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Nº Total de Directorios: 558

Nº Total de Ficheros: 6404

Nº de Ficheros Analizados: 1056

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 12:21:47 2008

EliTriIP v4.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Nº Total de Directorios: 2455

Nº Total de Ficheros: 30019

Nº de Ficheros Analizados: 1555

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Jul 08 21:35:18 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 08 21:36:04 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\LYVWTD.EXE --> Eliminado, Trojan.Mondera

Nº Total de Directorios: 6552

Nº Total de Ficheros: 97192

Nº de Ficheros Analizados: 36206

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Wed Jul 09 00:09:55 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Jul 09 00:10:03 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\HINJ.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\MTH.EXE --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\YTXFJK.EXE --> Acceso Denegado, Trojan.Mondera (Reiniciar para Completar la Limpieza)

Nº Total de Directorios: 6536

Nº Total de Ficheros: 97522

Nº de Ficheros Analizados: 36191

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 2

Wed Jul 09 00:32:45 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 872

Nº Total de Ficheros: 17135

Nº de Ficheros Analizados: 1331

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Wed Jul 09 01:20:18 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Nº Total de Directorios: 559

Nº Total de Ficheros: 6409

Nº de Ficheros Analizados: 766

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Wed Jul 09 01:21:53 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Nº Total de Directorios: 2435

Nº Total de Ficheros: 29930

Nº de Ficheros Analizados: 1608

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Wed Jul 09 08:34:07 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Jul 09 08:44:02 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Jul 09 08:44:06 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\JWXDOSQ.EXE --> Infectado, Trojan.Mondera

C:\WINDOWS\system32\PCR.EXE --> Infectado, Trojan.Mondera

C:\WINDOWS\system32\YTXFJK.EXE.VIR --> Infectado, Trojan.Mondera

Nº Total de Directorios: 6551

Nº Total de Ficheros: 97984

Nº de Ficheros Analizados: 36284

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 0

Espero haber cometido un error al enviar los archivos.

Gracias.

Mensaje por **flacoroo** » 09 Jul 2008, 17:27

ya esta la nueva version del elistara 16.67, bajatala y no se te olvide bajarte tambien elinotiff y ponerlos en la misma carpeta y ejecutalos en modo seguro....

Mensaje por **msc hotline sat** » 09 Jul 2008, 17:34

vemos que el proceso ha sido de deteccion->eliminacion y reinfeccion...:

C:\WINDOWS\system32\KUQUKBJ.EXE --> Acceso Denegado, Trojan.Mondera (Reiniciar para Completar la Limpieza)

Mon Jul 07 14:01:13 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\HFPGV.EXE --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\KUQUKBJ.EXE.VIR --> Eliminado, Trojan.Mondera

Mon Jul 07 23:26:15 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\FWNG.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\QLG.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\SQIOFE.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\TQUB.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\WKVO.EXE --> Eliminado, Trojan.Mondera

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\HKPE.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\SOWTGC.EXE --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\JGPCY.EXE --> Acceso Denegado, Trojan.Mondera (Reiniciar para Completar la Limpieza)

Tue Jul 08 10:39:02 2008

EliStartPage v16.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\NEJPAOE.EXE --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\JGPCY.EXE.VIR --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\TLJWAPV.EXE --> Acceso Denegado, Trojan.Mondera (Reiniciar para Completar la Limpieza)

Tue Jul 08 11:18:17 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\VUSLPUK.EXE --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\TLJWAPV.EXE.VIR --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\TPUWFUK.EXE --> Acceso Denegado, Trojan.Mondera (Reiniciar para Completar la Limpieza)

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\TPUWFUK.EXE.VIR --> Eliminado, Trojan.Mondera

Tue Jul 08 21:36:04 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\LYVWTD.EXE --> Eliminado, Trojan.Mondera

Wed Jul 09 00:10:03 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\HINJ.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\MTH.EXE --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\YTXFJK.EXE --> Acceso Denegado, Trojan.Mondera (Reiniciar para Completar la Limpieza)

Wed Jul 09 08:44:06 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\JWXDOSQ.EXE --> Infectado, Trojan.Mondera

C:\WINDOWS\system32\PCR.EXE --> Infectado, Trojan.Mondera

C:\WINDOWS\system32\YTXFJK.EXE.VIR --> Infectado, Trojan.Mondera

En este último exploracion desactivaste la eliminacion automatica y no aceptaste eliminar manualmente el fichero cuando se detectó ... Evidentemente se han de eliminar !!!

Pero vemos que aun eliminandolo, en el proximo reinicio del ordenador lo vuelve a instalar, o sea, lo detectamos, lo renombramos y lo eliminamos, pero luego vuelve a crearse con otro nombre de fichero, asi que hemos de ver lo que lo regenera, puede que sea un downloader que descargue de internet de nuevo el malware, y puede que este sea RootKit y esté oculto y nos oculte claves, ficheros y procesos, para que no lo veamos.

Por ello, debes bajar el SPROCES, luego arrancar en modo seguro y probar dicha utilidad, veras dos recuadros con módulos y procesos, dejalos estar, pulsa en SALIR y posteanos el contenido de c:\SPROCLOG.TXT en tu proximo post de respuesta a este Tema, y tras analizarlo informaremos

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT

lo analizaremos e informaremos al respecto.

saludos

ms, 9-07-2008

kalinkimo · Mensaje por **kalinkimo** » 09 Jul 2008, 20:50

OK

Aqui esta el contenido del C:\SPROCLOG.TXT

Wed Jul 09 13:35:13 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIV~1\MCAFEE\MSC\MCMSCSVC.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\SCUR.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIV~1\MCAFEE.COM\AGENT\MCAGENT.EXE

F:\00 INSTALL\€LISTARA\SPROCESS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\Documents and Settings\Administrador\scur.exe \s

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan\scriptsn.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Archivos de programa\Save Flash\SaveFlash.dll

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: []

O4 - HKLM\..\Run: [mcagent_exe] C:\Archivos de programa\McAfee.com\Agent\mcagent.exe /runkey

O4 - HKLM\..\Run: [mmtask] "C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [SiteAdvisor] "C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.exe"

O4 - HKLM\..\Run: [Windows Messenger Live Startup] windowsmsnlive.exe

O4 - HKLM\..\Run: [doqmob] C:\WINDOWS\system32\doqmob.exe \u

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Reader Synchronizer.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk

O4 - Global Startup: Microsoft Office.lnk

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Archivos de programa\Megaupload\Mega Manager\mm_file.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

**O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

*O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Archivos de programa\SiteAdvisor\6261\SAService.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Creative Audio Driver (WDM) (ctaud2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctaud2k.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO/1000 Adapter Driver (E1000) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1000325.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Creative Hardware Abstract Layer Driver (ha10kx2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ha10kx2k.sys

**O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Inc. mfeavfk (mfeavfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeavfk.sys

O23 - Service: McAfee Inc. mfebopk (mfebopk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfebopk.sys

O23 - Service: McAfee Inc. mferkdk (mferkdk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mferkdk.sys

O23 - Service: McAfee Inc. mfesmfk (mfesmfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfesmfk.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Creative OS Services Driver (ossrv) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\ctoss2k.sys

O23 - Service: Service (Passthru) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ndisio.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Intel (R) System Managment BIOS Service (SMBios) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SMBios.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: 3Com 3CRDAG675 Wireless LAN PCI Adapter (WLD675) - 3Com Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wld675f.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

30 Servicios.

9 de Carga Automatica.

20 de Carga Manual.

1 Deshabilitados.

Gracias por todo.

Saludos.

Mensaje por **flacoroo** » 09 Jul 2008, 22:58

eliminas estas entradas con el frix de hijackthis

O4 - HKLM\..\Run: []

y mandanos estos archivos, comprimidos con la contraseña virus a zonavirus@satinfo.es

O4 - HKLM\..\Run: [doqmob] C:\WINDOWS\system32\[color=#FF0000]doqmob.exe [/color]\u

Mensaje por **msc hotline sat** » 10 Jul 2008, 05:54

Sí, y aparte del

C:\WINDOWS\system32\doqmob.exe

que muy bien indica flacoroo, enviarnos tambien este otro (Posible Backdoor.Bot) :

C:\WINDOWS\system32\windowsmsnlive.exe

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

SALUDOS

ms, 10-07-2008

Mensaje por **flacoroo** » 10 Jul 2008, 16:44

checando mas detenidamente tambien envianos este archivo

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\[color=#FF0000]SCUR.EXE[/color]

Mensaje por **msc hotline sat** » 10 Jul 2008, 18:08

Sí, puede ser cualquier cosa, y no hay datos en internet buscando con el Google al respecto.

Y la clave de lanzamiento es sospechosa, en cuanto lo recibamos lo analizaremos tambien e informaneros.

saludos

ms, 10-07-2008

kalinkimo · Mensaje por **kalinkimo** » 10 Jul 2008, 22:45

hola.

He buscado los archivos que me piden que envie por correo pero no he encontrado ninguno de ellos en la carpetas que indica:

C:\WINDOWS\system32\doqmob.exe

C:\WINDOWS\system32\windowsmsnlive.exe

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\SCUR.EXE

los he buscado y no los encuentro, no se si se tiene alguna forma especifica para buscarlos, pues incluso no estan como archivos ocultos.

Ya elimine elimine 04 - HKLM\..\Run:[] con hijackthis.

Enseguida les mado el informe de los ultimos analisis que hice con elistara y sprocess.

saludos.

Mensaje por **msc hotline sat** » 11 Jul 2008, 05:36

Mira de buscarlos arrancando en modo seguro, por si hubiera algun RootKit que los escondiera, y claro, configurando tu windows para ver ficheros ocultos y de sistema:

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

Si no los has eliminado, como que figuran sus lanzamientos en el registro, deberías tenerlos...

saludos

ms, 11-07-2008

kalinkimo · Mensaje por **kalinkimo** » 11 Jul 2008, 07:36

Ok, gracias por el detalle de mostrar los archivos, no habia checado adecuadamnete el mensaje. Efectivamente ahora si aparecen los archivos y ya los he comprimido y de inmediato los mando por correo.

Tambien es importante mensionar que, en el ultimo mensaje que envie, escribe que habia borrado el archivo:

O4 - HKLM\..\Run: []

el cual aun no lo he borrado, cometi un error de escritura, en vez de poner que aun no lo borraba, puse, que lo habia borrado (disculpas por el error). Aclarado lo anterior, cuando ejecuto el programa de SProces (en modo a prueba de errores), el fichero que se genera en la unidad C (SProcLog.txt) muestra precisamente este archivo:

O4 - HKLM\..\Run: []

pero cuando ejecuto el programa HijackThis (en modo a prueba de errores) al oprimir SCAN para generar la lista de los archivos y poder borrarlos, este archivo (O4 - HKLM\..\Run: []) no aparece en la lista, y por esta razon no puedo borralo.

Bueno tambien es importante mencionar que he analizado con elistara 16.67, pero seleccione que no borrara los archivos infectados automaticamente, lo hice con la intencion de que me mandara la ubicacion del virus, y asi fue, solo me mando un archivo infectado, el cual es el siguiente:

C:\WINDOWS\system32\OVOR.EXE.VIR --> Infectado, Trojan.Mondera

bueno realizado esto procedi ha ejecutar HijackThis (en modo a prueba de errores), para eliminar el archivo que ustedes me indicaron (O4 - HKLM\..\Run: []), pero como ya explique anteriormente no pude, bueno ahi me encontre este archivo:

O4 - HKLM\..\Run: [ovor] C:\WINDOWS\system32\ovor.exe \u

el cual por su ubicacion y nombre coincidia con el archivo infectado que me marcaba elistara, asi que con HijackThis lo borre, cuando reinicie mi computadora note que habia una actualizacion de elistara, asi que la descargue y analize mi computadora con elistara 16.68 y no aprarecio ningun virus :D .

Bueno espero no haber escrito musho, pero a mi punto de vista era necesario explicar todo esto.

Bueno ahora les mando los archivos que me pidieron por correo, el cual es:

windowsmsnlive.exe

solo encontre este, ya que al parecer los otros ya fueron eliminados por elistara, o por HijackThis, ya que no vuelven a aparecr en ninguno de los informes que generan estos dos programas en sus respectivos ficheros. Aun asi anexo los informes de ambos programas, claro el de Elistara a partir de donde se quedo el ultimo informe que mande, el cual se queda hasta el dia y hora marcados en el ultimo informe que mande (Wed Jul 09 08:44:06 2008.)

Si omiti algo que se me olvido escribir en este mensaje se los hare saber, posteando otro.

A continuacion los informes.

ELISTARA

el informe empieza despues del ultimo analisis que fue:

Wed Jul 09 08:44:06 2008

cuyos resultados estan en primer mensaje de este tema.

Wed Jul 09 18:53:28 2008

EliStartPage v16.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Jul 09 18:53:43 2008

EliStartPage v16.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\CMQBSGR.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\DFKDDC.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\JQXRFB.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\JWXDOSQ.EXE --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\OVOR.EXE --> Acceso Denegado, Trojan.Mondera (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\YTXFJK.EXE.VIR --> Eliminado, Trojan.Mondera

Nº Total de Directorios: 6571

Nº Total de Ficheros: 97741

Nº de Ficheros Analizados: 36286

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 5

Wed Jul 09 20:07:08 2008

EliStartPage v16.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 873

Nº Total de Ficheros: 17138

Nº de Ficheros Analizados: 1331

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Wed Jul 09 20:45:39 2008

EliStartPage v16.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Nº Total de Directorios: 2440

Nº Total de Ficheros: 29949

Nº de Ficheros Analizados: 1609

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Wed Jul 09 21:04:32 2008

EliStartPage v16.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Wed Jul 09 21:15:25 2008

EliStartPage v16.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Nº Total de Directorios: 560

Nº Total de Ficheros: 6410

Nº de Ficheros Analizados: 766

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Jul 10 10:54:23 2008

EliStartPage v16.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 10 10:54:46 2008

EliStartPage v16.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad I:\

Nº Total de Directorios: 10

Nº Total de Ficheros: 232

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Jul 10 13:02:10 2008

EliStartPage v16.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Jul 10 13:20:45 2008

EliStartPage v16.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\OVOR.EXE.VIR --> Infectado, Trojan.Mondera

Nº Total de Directorios: 6588

Nº Total de Ficheros: 99225

Nº de Ficheros Analizados: 36593

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Thu Jul 10 16:14:40 2008

EliStartPage v16.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Jul 10 16:14:45 2008

EliStartPage v16.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\K0B4834K\SPERD[1].EXE --> Eliminado, AutoRun.DHA

C:\WINDOWS\system32\OVOR.EXE.VIR --> Eliminado, Trojan.Mondera

Nº Total de Directorios: 6596

Nº Total de Ficheros: 99237

Nº de Ficheros Analizados: 36610

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Thu Jul 10 20:06:47 2008

EliStartPage v16.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Jul 10 20:19:36 2008

EliStartPage v16.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 10 20:21:15 2008

EliStartPage v16.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6593

Nº Total de Ficheros: 97786

Nº de Ficheros Analizados: 36264

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Jul 10 20:52:28 2008

EliStartPage v16.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 873

Nº Total de Ficheros: 17167

Nº de Ficheros Analizados: 1331

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Jul 10 20:54:18 2008

EliStartPage v16.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Nº Total de Directorios: 560

Nº Total de Ficheros: 6411

Nº de Ficheros Analizados: 766

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Jul 10 20:56:40 2008

EliStartPage v16.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Nº Total de Directorios: 2441

Nº Total de Ficheros: 29953

Nº de Ficheros Analizados: 1610

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Jul 10 22:02:28 2008

EliStartPage v16.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinDir%\PeerNet"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 10 22:02:38 2008

EliStartPage v16.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6592

Nº Total de Ficheros: 97782

Nº de Ficheros Analizados: 36265

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

SPROCES

Thu Jul 10 21:28:48 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIV~1\MCAFEE\MSC\MCMSCSVC.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIV~1\MCAFEE.COM\AGENT\MCAGENT.EXE

C:\ARCHIV~1\MCAFEE\MSC\MCUIMGR.EXE

F:\00 INSTALL\€LISTARA\SPROCESS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan\scriptsn.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Archivos de programa\Save Flash\SaveFlash.dll

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: []

O4 - HKLM\..\Run: [mcagent_exe] C:\Archivos de programa\McAfee.com\Agent\mcagent.exe /runkey

O4 - HKLM\..\Run: [mmtask] "C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [SiteAdvisor] "C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.exe"

O4 - HKLM\..\Run: [Windows Messenger Live Startup] windowsmsnlive.exe

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Reader Synchronizer.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk

O4 - Global Startup: Microsoft Office.lnk

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Archivos de programa\Megaupload\Mega Manager\mm_file.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

**O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

*O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Archivos de programa\SiteAdvisor\6261\SAService.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Creative Audio Driver (WDM) (ctaud2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctaud2k.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO/1000 Adapter Driver (E1000) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1000325.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Creative Hardware Abstract Layer Driver (ha10kx2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ha10kx2k.sys

**O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Inc. mfeavfk (mfeavfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeavfk.sys

O23 - Service: McAfee Inc. mfebopk (mfebopk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfebopk.sys

O23 - Service: McAfee Inc. mferkdk (mferkdk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mferkdk.sys

O23 - Service: McAfee Inc. mfesmfk (mfesmfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfesmfk.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Creative OS Services Driver (ossrv) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\ctoss2k.sys

O23 - Service: Service (Passthru) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ndisio.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Intel (R) System Managment BIOS Service (SMBios) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SMBios.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: 3Com 3CRDAG675 Wireless LAN PCI Adapter (WLD675) - 3Com Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wld675f.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

30 Servicios.

9 de Carga Automatica.

20 de Carga Manual.

1 Deshabilitados.

Bueno esto es todo, ya envie el archivo (windowamsnlive.exe) por correo, espero y llegue, si no de lo contrario avisenme, por favor.

GRACIAS POR TODO

SALUDOS

Mensaje por **msc hotline sat** » 11 Jul 2008, 10:25

Sí, se ha recibido y en un analisis previo con el Virus Total hemos visto que es malware:

[quote="VirusTotal"]File windowsmsnlive.gxe received on 07.11.2008 09:32:32 (CET)

Current status: finished

Result: 18/33 (54.55%)

Compact Print results

Antivirus Version Last Update Result

AhnLab-V3 2008.7.11.0 2008.07.10 Win-Trojan/Xema.variant

AntiVir 7.8.0.64 2008.07.11 TR/Delf.dax

Authentium 5.1.0.4 2008.07.10 -

Avast 4.8.1195.0 2008.07.11 -

AVG 7.5.0.516 2008.07.10 Generic10.AYBK

BitDefender 7.2 2008.07.11 Trojan.Generic.356106

CAT-QuickHeal 9.50 2008.07.10 Trojan.Delf.dax

ClamAV 0.93.1 2008.07.11 -

DrWeb 4.44.0.09170 2008.07.10 -

eSafe 7.0.17.0 2008.07.10 -

eTrust-Vet 31.6.5946 2008.07.11 -

Ewido 4.0 2008.07.10 -

F-Prot 4.4.4.56 2008.07.10 -

F-Secure 7.60.13501.0 2008.07.10 -

Fortinet 3.14.0.0 2008.07.11 PossibleThreat

GData 2.0.7306.1023 2008.07.11 Trojan.Win32.Delf.dax

Ikarus T3.1.1.26.0 2008.07.11 VirTool.Win32.DelfInject.AC

Kaspersky 7.0.0.125 2008.07.11 Trojan.Win32.Delf.dax

McAfee 5336 2008.07.10 -

Microsoft 1.3704 2008.07.11 Worm:Win32/Slenfbot.YU

NOD32v2 3260 2008.07.10 Win32/AutoRun.SH

Norman 5.80.02 2008.07.10 W32/Delf.CESK

Panda 9.0.0.4 2008.07.10 W32/MSNWorm.EU.worm

Prevx1 V2 2008.07.11 Worm

Rising 20.52.40.00 2008.07.11 -

Sophos 4.31.0 2008.07.11 -

Sunbelt 3.1.1509.1 2008.07.04 -

Symantec 10 2008.07.11 -

TheHacker 6.2.96.376 2008.07.10 Trojan/Delf.dax

TrendMicro 8.700.0.1004 2008.07.11 TROJ_DELF.GDZ

VBA32 3.12.6.9 2008.07.11 Trojan.Win32.Delf.dax

VirusBuster 4.5.11.0 2008.07.10 -

Webwasher-Gateway 6.6.2 2008.07.11 Trojan.Delf.dax [/quote]

está en cola, y cuando le toque el turno, lo monitorizaremos e informaremos

saludos

ms, 11-07-2008

Mensaje por **msc hotline sat** » 11 Jul 2008, 11:06

En proceso de monitorización, se ve que este malware es mas bien un backdoor de IRC tipo SDBOT , por lo que pasaremos a controlarlo con el ELITRIIP de hoy, 4.95 con el nombre que nos parece que mas encaja con lo que vemos que es: SDBOT (MSN)

Esta tarde lo decargas, pruebas y comentas el resultado, gracias:

[quote]

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 11-07-2008

kalinkimo · Mensaje por **kalinkimo** » 12 Jul 2008, 03:16

Hola.

Bueno, aqui estan los resultados del analisis con elitriip v4.95, que al parecer y si no me dejan mentir ha eliminado el archivo infectado:

windowsmsnlive.exe

a continuacion mando los informes que genero EliTriIP v4.95, SProces y HijackThis.

ELITRIIP

Fri Jul 11 18:49:15 2008

EliTriIP v4.95 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINDOWSMSNLIVE.EXE --> Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "Windows Messenger Live Startup"="windowsmsnlive.exe"

Reinicie para Completar la Limpieza.

Fri Jul 11 18:49:32 2008

EliTriIP v4.95 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\windowsmsnlive.exe --> Acceso Denegado, SdBot(msn) (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 6614

Nº Total de Ficheros: 98724

Nº de Ficheros Analizados: 35144

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Fri Jul 11 19:48:24 2008

EliTriIP v4.95 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINDOWSMSNLIVE.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Windows Messenger Live Startup"="windowsmsnlive.exe"

SPROCES

Fri Jul 11 19:55:38 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIV~1\MCAFEE\MSC\MCMSCSVC.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIV~1\MCAFEE.COM\AGENT\MCAGENT.EXE

F:\00 INSTALL\€LISTARA\SPROCESS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan\scriptsn.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Archivos de programa\Save Flash\SaveFlash.dll

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: []

O4 - HKLM\..\Run: [mcagent_exe] C:\Archivos de programa\McAfee.com\Agent\mcagent.exe /runkey

O4 - HKLM\..\Run: [mmtask] "C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [SiteAdvisor] "C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Reader Synchronizer.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk

O4 - Global Startup: Microsoft Office.lnk

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Archivos de programa\Megaupload\Mega Manager\mm_file.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

**O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

*O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Archivos de programa\SiteAdvisor\6261\SAService.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Creative Audio Driver (WDM) (ctaud2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctaud2k.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO/1000 Adapter Driver (E1000) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1000325.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Creative Hardware Abstract Layer Driver (ha10kx2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ha10kx2k.sys

**O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Inc. mfeavfk (mfeavfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeavfk.sys

O23 - Service: McAfee Inc. mfebopk (mfebopk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfebopk.sys

O23 - Service: McAfee Inc. mferkdk (mferkdk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mferkdk.sys

O23 - Service: McAfee Inc. mfesmfk (mfesmfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfesmfk.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Creative OS Services Driver (ossrv) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\ctoss2k.sys

O23 - Service: Service (Passthru) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ndisio.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Intel (R) System Managment BIOS Service (SMBios) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SMBios.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: 3Com 3CRDAG675 Wireless LAN PCI Adapter (WLD675) - 3Com Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wld675f.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

30 Servicios.

9 de Carga Automatica.

20 de Carga Manual.

1 Deshabilitados.

HIJACKTHIS

Logfile of HijackThis v1.99.1

Scan saved at 19:59:19, on 11/07/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

C:\WINDOWS\Explorer.EXE

c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\Documents and Settings\Administrador\Mis documentos\€liStarA\Hijackthis\hijackthis\HijackThis.exe

c:\ARCHIV~1\mcafee\msc\mcuimgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=userinit.exe,

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan\scriptsn.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Archivos de programa\Save Flash\SaveFlash.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [mcagent_exe] C:\Archivos de programa\McAfee.com\Agent\mcagent.exe /runkey

O4 - HKLM\..\Run: [mmtask] "C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [SiteAdvisor] "C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.exe"

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Acrobat 8.0\Acrobat\AdobeCollabSync.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Archivos de programa\Megaupload\Mega Manager\mm_file.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O11 - Options group: [INTERNATIONAL] International*

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

O23 - Service: SiteAdvisor Service - Unknown owner - C:\Archivos de programa\SiteAdvisor\6261\SAService.exe

Esos son los resultados, primero ejecute EliTriIP, posteriormente SProces y por ultimo HijackThis, como se pueden dar cuenta en la hora que se generaron los informes. Y estos son los resultados que obtuve.

Al parecer ha sido borrado el archivo eliminado con exito, a reserva de que vuelva a aparecer pero no lo creo, ya que HijackThis no muestra esta entrada:

HKLM\...\Run] "Windows Messenger Live Startup"="windowsmsnlive.exe

que era la que estaba originando el problema.

A reserva de que ustedes me indiquen lo contario, espero su respuesta.

Bueno solo queda agradecer toda la ayuda brindada.

GRACIAS POR TODO.

SALUDOS.

Mensaje por **msc hotline sat** » 12 Jul 2008, 06:53

Efectivamente, el ELITRIIP 4.95 ha eliminado el nuevo malware:

[quote]EliTriIP v4.95 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINDOWSMSNLIVE.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Windows Messenger Live Startup"="windowsmsnlive.exe"[/quote]

Con ello damos por solucionado el problema y procedemos a cerrar el Tema

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 12-07-2008

Trojan Mondera que no puedo eliminar (SOLUCIUONADO)

Trojan Mondera que no puedo eliminar (SOLUCIUONADO)

Re: Trojan Mondera que no puedo eliminar

Re: Trojan Mondera que no puedo eliminar

Re: Trojan Mondera que no puedo eliminar

Re: Trojan Mondera que no puedo eliminar

Re: Trojan Mondera que no puedo eliminar

Re: Trojan Mondera que no puedo eliminar

Re: Trojan Mondera que no puedo eliminar

Re: Trojan Mondera que no puedo eliminar

Re: Trojan Mondera que no puedo eliminar

Re: Trojan Mondera que no puedo eliminar

Re: Trojan Mondera que no puedo eliminar

Re: Trojan Mondera que no puedo eliminar

Re: Trojan Mondera que no puedo eliminar

Re: Trojan Mondera que no puedo eliminar