Antivirus xp2008 se instaló solo

JaviS · Mensaje por **JaviS** » 11 Jul 2008, 17:34

Hola a todos.

He visto variantes de este tema y siguiendo vuestras instrucciones pase lo programas que recomendabais pero no se que pasa en mi caso el programita no se desistala y me esta volviendo loco, no se si es que estoy haciendo algo mal o es que es una nueva variante.

Os posteo el infosat de todas las pasadas que di con elistara y elitrip.

Fri Jul 11 16:31:52 2008

EliStartPage v16.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SVCH0ST.EXE.Muestra EliStartPage v16.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SVCH0ST.EXE --> Renombrado a .VIR

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\WINDOWS\WIASERVB.LOG --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Entrada Eliminada [HKCU\...\Run] "IEXPLORER"="C:\WINDOWS\iexplorer.exe --system"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Fri Jul 11 16:34:19 2008

EliStartPage v16.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTORUN.INF --> Eliminado, Redunder.B(inf)

C:\Program Files\NewTech Infosystems\NTI Backup NOW! 4.5\PART32.DLL --> Eliminado, WinAntiVirus Pro 2006(cpl)

C:\Program Files\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\BLPHC55KJ0EA83.SCR --> Acceso Denegado, Blackster.C(scr) (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\PPHC55KJ0EA83.EXE --> Acceso Denegado, Blackster.C (Reiniciar para Completar la Limpieza)

Nº Total de Directorios: 6929

Nº Total de Ficheros: 81003

Nº de Ficheros Analizados: 24253

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 3

Fri Jul 11 16:41:17 2008

EliStartPage v16.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SVCH0ST.EXE.VIR --> Eliminado.

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 11 16:41:38 2008

EliStartPage v16.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTORUN.INF --> Eliminado, Redunder.B(inf)

C:\WINDOWS\system32\19.TMP --> Eliminado, Blackster.C

C:\WINDOWS\system32\BLPHC55KJ0EA83.SCR.VIR --> Eliminado, Blackster.C(scr)

C:\WINDOWS\system32\PPHC55KJ0EA83.EXE.VIR --> Eliminado, Blackster.C

Nº Total de Directorios: 6929

Nº Total de Ficheros: 81038

Nº de Ficheros Analizados: 24287

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

Fri Jul 11 16:54:43 2008

EliTriIP v4.95 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Fri Jul 11 16:54:48 2008

EliTriIP v4.95 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTORUN.INF --> Eliminado, SdBot.Q(inf)

Nº Total de Directorios: 6927

Nº Total de Ficheros: 80926

Nº de Ficheros Analizados: 22865

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Fri Jul 11 17:12:33 2008

EliStartPage v16.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinDir%\PeerNet"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 11 17:12:40 2008

EliStartPage v16.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTORUN.INF --> Eliminado, Redunder.B(inf)

C:\WINDOWS\system32\BLPHC55KJ0EA83.SCR --> Eliminado, Blackster.C(scr)

C:\WINDOWS\system32\PPHC55KJ0EA83.EXE --> Eliminado, Blackster.C

Nº Total de Directorios: 6915

Nº Total de Ficheros: 80814

Nº de Ficheros Analizados: 24210

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

Fri Jul 11 17:23:21 2008

EliTriIP v4.95 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Fri Jul 11 17:23:29 2008

EliTriIP v4.95 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6915

Nº Total de Ficheros: 80811

Nº de Ficheros Analizados: 22838

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Espero que podais ayudarme, mil gracias por adelantado.

Mensaje por **msc hotline sat** » 11 Jul 2008, 17:46

Es el tipico FAKE ALERT, envianos la muestra pedida y la pasaremos a controlar...

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 11-07-2008

JaviS · Mensaje por **JaviS** » 11 Jul 2008, 17:57

Muestra enviada.

Espero puedan ayudarme.

Gracias por adelantado por la rapidez.

JaviS · Mensaje por **JaviS** » 11 Jul 2008, 18:10

Perdon se me olvido comentar un par de curiosidades que no se si podran ayudar.

El programa al instalarse me cambio el fondo de pantalla por una pantalla azul con un cartel que pone:

WARNING SPYWARE DETECTED ON YOUR COMPUTER

PLEASE INSTALL AN ANTIVIRUS OR SPYWARE TO CLEAN YOUR COMPUTER

Cuando voy a intentar eliminar este fondo no puedo, no me deja.

En la barra de tareas sale continuamente un globo que dice:

System information.

Antivirus has found 29.998 infected archives on your computer.

It is recomended to desinfect as soon as posible.

Tambien si intento ver mi correo de gmail me salta un mensaje del propio gmail diciendo que no me deja

acceder a la pagina porque estoy infectado con un spyware.

no se si ayudara pero por si acaso.

Muchas gracias.

Mensaje por **msc hotline sat** » 11 Jul 2008, 19:12

No haga caso, estos mensajes son típicos con los FAKE ALERTS (Falsas Alertas). Pretenden que se crea que está infectado para venderle la moto !

Pero como que este SVCH0ST que supongo nos ha enviado (lo veremos el lunbes, cuando entremos a trabajar de nuevo en SATINFO) posiblemente no sea el FAKE ALERT, pues al haberlo renombrado a .VIR el ELISTARA ya está aparcado a partir del siguiente reinicio, que supongo que ha hecho, si persiste la historia del fondo de pantalla es que hay algo mas...

Pruebe el SPROCES y posteenos el contenido del fichero resultante c:\sproclog.txt y posiblemente veamos mas sospechosos que le pidamos para analizar, aunque de entrada probaremos de renombrar su extension a .VIR para que ya no incordien.

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT

lo analizaremos e informaremos al respecto.

saludos

ms, 11-07-2008

JaviS · Mensaje por **JaviS** » 11 Jul 2008, 19:57

Fri Jul 11 19:56:55 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\INTEL\WIRELESS\BIN\EVTENG.EXE

C:\PROGRAM FILES\INTEL\WIRELESS\BIN\S24EVMON.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\PROGRAM FILES\COMMON FILES\LOGITECH\LVMVFM\LVPRCSRV.EXE

C:\PROGRAM FILES\ADOBE\ADOBE VERSION CUE CS2\BIN\VERSIONCUECS2.EXE

C:\ACER\EMPOWERING TECHNOLOGY\ADMSERV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\WIDCOMM\BLUETOOTH SOFTWARE\BIN\BTWDINS.EXE

C:\WINDOWS\EHOME\EHRECVR.EXE

C:\WINDOWS\EHOME\EHSCHED.EXE

C:\PROGRAM FILES\COMMON FILES\LIGHTSCRIBE\LSSRVC.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\PROGRAM FILES\INTEL\WIRELESS\BIN\REGSRVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WDFMGR.EXE

C:\WINDOWS\EHOME\MCRDSVC.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\EHOME\EHTRAY.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE

C:\WINDOWS\EHOME\EHMSAS.EXE

C:\ACER\EMPOWERING TECHNOLOGY\ADMTRAY.EXE

C:\ACER\EMPOWERING TECHNOLOGY\EDATASECURITY\EDSLOADER.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ACER\EMPOWERING TECHNOLOGY\EPOWER\EPOWER_DMC.EXE

C:\PROGRA~1\LAUNCH~1\LMANAGER.EXE

C:\ACER\EMPOWERING TECHNOLOGY\ERECOVERY\MONITOR.EXE

C:\WINDOWS\SYSTEM32\LVCOMSX.EXE

C:\PROGRAM FILES\ACER\ORBICAM\CAMERAASSISTANT.EXE

C:\WINDOWS\SYSTEM32\ELKCTRL.EXE

C:\PROGRAM FILES\SLYSOFT\ANYDVD\ANYDVD.EXE

C:\PROGRAM FILES\JAVA\JRE1.5.0_10\BIN\JUSCHED.EXE

C:\PROGRAM FILES\ADOBE\ADOBE VERSION CUE CS2\CONTROLPANEL\VERSIONCUECS2TRAY.EXE

C:\PROGRAM FILES\ADOBE\ADOBE ACROBAT 7.0\DISTILLR\ACROTRAY.EXE

C:\WINDOWS\SYSTEM32\OZYFILRNW.EXE

C:\PROGRAM FILES\NOKIA\NOKIA PC SUITE 6\LAUNCHAPPLICATION.EXE

C:\WINDOWS\SYSTEM32\LPHC55KJ0EA83.EXE

C:\PROGRAM FILES\RHC15KJ0EA83\RHC15KJ0EA83.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE

C:\PROGRAM FILES\PANDO NETWORKS\PANDO\PANDO.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE

C:\WINDOWS\MSSERV.EXE

C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\WINDOWS\SYSTEM32\WBEM\UNSECAPP.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE

C:\WINDOWS\SYSTEM32\PPHC55KJ0EA83.EXE

C:\PROGRAM FILES\ADOBE\ADOBE VERSION CUE CS2\DATA\DATABASE\BIN\MYSQLD-NT.EXE

C:\DOCUME~1\JAVIS\LOCALS~1\TEMP\RTKBTMNT.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\PROGRAM FILES\PC CONNECTIVITY SOLUTION\SERVICELAYER.EXE

C:\WINDOWS\SYSTEM32\DLLHOST.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\PROGRAM FILES\MSN MESSENGER\USNSVC.EXE

C:\PROGRAM FILES\PC CONNECTIVITY SOLUTION\NCLBTHANDLER.EXE

C:\PROGRAM FILES\JAVA\JRE1.5.0_10\BIN\JUCHECK.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\JAVIS\DESKTOP\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized

O4 - HKCU\..\Run: []

O4 - HKCU\..\Run: [BlazeServoTool] "C:\Program Files\BlazeVideo\BlazeDTV 2.5a\MediaDetector.exe"

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AdobeUpdateManager.exe AcPro7_0_0

O4 - HKCU\..\Run: [msserv] C:\WINDOWS\msserv.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

O4 - HKLM\..\Run: []

O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe

O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect

O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [Log System] C:\WINDOWS\system32\ozyfilrnw.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [lphc55kj0ea83] C:\WINDOWS\system32\lphc55kj0ea83.exe

O4 - HKLM\..\Run: [SMrhc15kj0ea83] C:\Program Files\rhc15kj0ea83\rhc15kj0ea83.exe

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdwlm.exe] C:\WINDOWS\system32\kdwlm.exe

O4 - Startup: desktop.ini

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_10) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586-jc.cab

O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Program Files\Common Files\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Activada Restricción de las Propiedades de Pantalla, Pestaña "Fondo" Oculta.(NoDispBackgroundPage)

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.4.9.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe

O23 - Service: Bluetooth Serial Driver (BTSERIAL) - Broadcom Corporation. - C:\WINDOWS\system32\drivers\btserial.sys

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

**O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: Acer EPM Power Scheme Driver (EpmPsd) - Acer Value Labs, USA - C:\WINDOWS\system32\drivers\epm-psd.sys

O23 - Service: Acer EPM System Hardware Driver (EpmShd) - Acer Value Labs, USA - C:\WINDOWS\system32\drivers\epm-shd.sys

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: int15.sys - Unknown owner - C:\Acer\Empowering Technology\eRecovery\int15.sys

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: osaio - OSA Technologies, An Avocent Company - C:\WINDOWS\system32\drivers\osaio.sys

O23 - Service: osanbm - Windows (R) 2000 DDK provider - C:\WINDOWS\system32\drivers\osanbm.sys

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

**O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Transporte WLAN (s24trans) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s24trans.sys

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AnyDVD - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\AnyDVD.sys

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Broadcom 440x 10/100 Integrated Controller XP Driver (bcm4sbxp) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcm4sbxp.sys

O23 - Service: Dispositivo de audio Bluetooth (btaudio) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btaudio.sys

O23 - Service: Controlador de comunicaciones virtual Bluetooth (BTDriver) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys

O23 - Service: Enumerador de bus Bluetooth (BTKRNL) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btkrnl.sys

O23 - Service: Servidor de acceso a LAN Bluetooth (BTWDNDIS) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys

O23 - Service: Módem Bluetooth (btwmodem) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwmodem.sys

O23 - Service: WIDCOMM USB Bluetooth Driver (BTWUSB) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\Drivers\btwusb.sys

O23 - Service: Intel CE6230 Standalone USB Driver (ce6230) - Intel Corporation (UK) - C:\WINDOWS\SYSTEM32\DRIVERS\CE6230StandaloneDriver.sys

O23 - Service: Realfine CE6230 BDA Driver (ce6230BDACAP) - Intel Corporation (UK) - C:\WINDOWS\SYSTEM32\DRIVERS\CE6230BDA.sys

O23 - Service: Dritek Keyboard Filter Driver (DKbFltr) - Dritek System Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\DKbFltr.sys

**O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ElbyDelay - Elaborate Bytes - C:\WINDOWS\SYSTEM32\Drivers\ElbyDelay.sys

O23 - Service: EMSCR - ENE Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\EMS7SK.sys

O23 - Service: ESDCR - ENE Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ESD7SK.sys

O23 - Service: ESMCR - ENE Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ESM7SK.sys

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: HSFHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWAZL.sys

O23 - Service: HSF_DPV - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DPV.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Logitech USB PC Camera (VC0321) (lv321av) - Logitech - C:\WINDOWS\SYSTEM32\DRIVERS\lv321av.sys

O23 - Service: Logitech Machine Vision Engine Loader (lvmvdrv) - Logitech - C:\WINDOWS\system32\drivers\lvmvdrv.sys

O23 - Service: Logitech LVPrcMon Driver (LVPrcMon) - Logitech - C:\WINDOWS\system32\drivers\LVPrcMon.sys

O23 - Service: Logitech USB Monitor Filter (LVUSBSta) - Logitech - C:\WINDOWS\SYSTEM32\drivers\lvusbsta.sys

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: OSA NdisFilter Protocol (NdisFilt) - OSA Technologies - C:\WINDOWS\SYSTEM32\Drivers\NdisFilt.sys

O23 - Service: Acer NetMonitor Protocol (NETMNT) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\NETMNT.sys

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcd.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdc.sys

O23 - Service: Nokia USB Port (nmwcdcj) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdcj.sys

O23 - Service: Nokia USB Modem (nmwcdcm) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdcm.sys

O23 - Service: Upper Class Filter Driver (NTIDrvr) - NewTech Infosystems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NTIDrvr.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\WINDOWS\SYSTEM32\%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SMSC IrCC Miniport Device Driver (SMCIRDA) - SMSC - C:\WINDOWS\SYSTEM32\DRIVERS\smcirda.sys

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

*O23 - Service: Terminal Services (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Intel(R) PRO/Wireless 3945ABG Adapter Driver (w39n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w39n51.sys

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Windows Firewall - Unknown owner - C:\WINDOWS\system32\SVCH0ST.EXE (file missing)

68 Servicios.

21 de Carga Automatica.

45 de Carga Manual.

2 Deshabilitados.

Mensaje por **msc hotline sat** » 11 Jul 2008, 22:23

Pues empiece por instalar el SP3 lanzando un windowsupdate... !!!

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

y envienos estos ficheros para analizar:

C:\WINDOWS\SYSTEM32\OZYFILRNW.EXE

C:\WINDOWS\SYSTEM32\LPHC55KJ0EA83.EXE

C:\PROGRAM FILES\RHC15KJ0EA83\RHC15KJ0EA83.EXE

C:\WINDOWS\MSSERV.EXE

C:\WINDOWS\SYSTEM32\PPHC55KJ0EA83.EXE

C:\WINDOWS\system32\kdwlm.exe

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

y vemos activada la Restricción de las Propiedades de Pantalla, Pestaña "Fondo" Oculta.(NoDispBackgroundPage), lo cual restairaremos con la utilidad que contemplemos la deteccion y eñliminacion de los troyanos existentes en las muestras solicitadas.

y elimine esta ultima clave:

O23 - Service: Windows Firewall - Unknown owner - C:\WINDOWS\system32\SVCH0ST.EXE (file missing)

que no lanzaba un SVCHOST del sistema sino un troyano con un cero en lugar de una O... fijese en la diferencia de anchura...

y recuerda que en el infosat te pedimos nos lo envies tambien para analizar, por lo que supongo que ya lo has hecho...

[quote]Fri Jul 11 16:31:52 2008

EliStartPage v16.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SVCH0ST.EXE.Muestra EliStartPage v16.69[/quote]

saludos

ms, 11-07-2008

JaviS · Mensaje por **JaviS** » 12 Jul 2008, 11:27

Por mediacion de un amigo que entiende de tema de virus use el programa Hijackthis, y despues de el analisis mi amigo me recomendo eliminar todas esas entradas de la cual me pedis que os envie para analizar por segun el eran archivos corruptos.

Lo que no se ha solucionado es lo de las propiedadades de pantalla, sigue sin aparecer la pestaña de fondo.

Muchas gracias por la ayuda y perdon por las molestias.

Mensaje por **msc hotline sat** » 12 Jul 2008, 11:33

Aunque hayas eliminado las claves, tendrás los ficheros, envianoslos tal como decimos para analizarlos y procederemos en consecuencia

saludos

ms, 12-07-2008

Mensaje por **msc hotline sat** » 14 Jul 2008, 13:24

Pasadas las 13 horas del lunes, no se ha recibido la muestra del fichero solicitada.

Insistimos que necesitamos analizar y monitorizar dicha muestras para poder restaurar laa claves modificadas y erradicar el virus:

[quote]Fri Jul 11 16:31:52 2008

EliStartPage v16.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SVCH0ST.EXE.Muestra EliStartPage v16.69[/quote]
Caso de que lo hayas eliminado sin guardar copia, (mira en C:\muestras\ que a donde lo movimos), si definitivamente no nos lo puedes enviar, dinoslo para proceder a cerrar el Tema

saludos

ms, 14-07-2008

Mensaje por **msc hotline sat** » 14 Jul 2008, 14:50

Recibido el SVCH0ST.EXE de marras !

Y a no nos da tiempo a examinarlo hoy, pero sepa que lo hemos recibido y se procesará mañana

De momento como que está en la carpeta c:\muestras\ ya no está operativo, asi que no se ejecutará a partir de cuando reinicie el ordenador.

De entrada en ujn analisis previo se ve:

[quote="VirusTotal"]File SVCH0ST.EXE.Muestra_EliStartPage_ received on 07.14.2008 14:48:37 (CET)

Result: 32/33 (96.97%)

Antivirus Version Last Update Result

AhnLab-V3 2008.7.11.0 2008.07.11 Win-Trojan/Agent.35929

AntiVir 7.8.0.64 2008.07.14 BDS/Agent.amb.15

Authentium 5.1.0.4 2008.07.13 W32/Heuristic-257!Eldorado

Avast 4.8.1195.0 2008.07.14 Win32:Trojan-gen {Other}

AVG 7.5.0.516 2008.07.14 BackDoor.Agent.GAY

BitDefender 7.2 2008.07.14 Backdoor.Agent.AMB

CAT-QuickHeal 9.50 2008.07.11 Backdoor.Agent.amb

ClamAV 0.93.1 2008.07.14 PUA.Packed.NPack-4

DrWeb 4.44.0.09170 2008.07.14 BackDoor.Attacker

eSafe 7.0.17.0 2008.07.13 Win32.Agent.amb

eTrust-Vet 31.6.5954 2008.07.14 -

Ewido 4.0 2008.07.14 Backdoor.Agent.amb

F-Prot 4.4.4.56 2008.07.13 W32/Heuristic-257!Eldorado

F-Secure 7.60.13501.0 2008.07.14 Backdoor.Win32.Agent.faq

Fortinet 3.14.0.0 2008.07.14 W32/Heuri.AMB!worm

GData 2.0.7306.1023 2008.07.14 Backdoor.Win32.Agent.faq

Ikarus T3.1.1.26.0 2008.07.14 Backdoor.Win32.Agent.ahj

Kaspersky 7.0.0.125 2008.07.14 Backdoor.Win32.Agent.faq

McAfee 5337 2008.07.11 W32/Autorun.worm.c

Microsoft 1.3704 2008.07.14 Backdoor:Win32/Agent

NOD32v2 3265 2008.07.14 a variant of Win32/Agent.AMB

Norman 5.80.02 2008.07.11 W32/Agent.BKYA

Panda 9.0.0.4 2008.07.13 Adware/BaiduBar

Prevx1 V2 2008.07.14 Password Stealer

Rising 20.53.02.00 2008.07.14 Trojan.Mnless.hta

Sophos 4.31.0 2008.07.14 Mal/Emogen-N

Sunbelt 3.1.1536.1 2008.07.12 Packed.Win32.NSAnti.e

Symantec 10 2008.07.14 Trojan.Panddos

TheHacker 6.2.96.378 2008.07.13 Backdoor/Agent.faq

TrendMicro 8.700.0.1004 2008.07.14 WORM_AGENT.WMI

VBA32 3.12.6.9 2008.07.13 Backdoor.Win32.Agent.faq

VirusBuster 4.5.11.0 2008.07.13 Packed/NSPack

Webwasher-Gateway 6.6.2 2008.07.14 Trojan.Backdoor.Agent.amb.15 [/quote]

Lo implementaremos en el ELITRIIP, VOY A VER SI LO CONTROLA YA EL ACTUAL...

No, lo implementaremos en el de mañana. Hasta entonces

saludos

ms, 14-07-2008

Mensaje por **msc hotline sat** » 15 Jul 2008, 10:51

Monitorizado el SVCH0ST de marras, se pasa a controlar como backdoor con el ELITRIIP de hoy 4.97

Esta tarde descargalo y tras probarlo nos comnetas el resultado, gracias

[quote]

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 15-07-2008

Antivirus xp2008 se instaló solo

Antivirus xp2008 se instaló solo

Re: Antivirus xp2008 se instaló solo

Re: Antivirus xp2008 se instaló solo

Re: Antivirus xp2008 se instaló solo

Re: Antivirus xp2008 se instaló solo

Re: Antivirus xp2008 se instaló solo

Re: Antivirus xp2008 se instaló solo

Re: Antivirus xp2008 se instaló solo

Re: Antivirus xp2008 se instaló solo

Re: Antivirus xp2008 se instaló solo

Re: Antivirus xp2008 se instaló solo

Re: Antivirus xp2008 se instaló solo