No hay acceso a DD ni navegacion en IE 7

[auditorstgo]

Estan ocurriendo cuatro hechos que no puedo arreglar:



1.- No puedo navegar con el IE 7, se [b][i]abre[/i][/b] pero la pagina permanece en blanco

2.- La pagina llamada me habre una opcion de bajarla(sin que se habra) y grabarla en el DD, acompañada del icono del Firefox

3.- En el DD hay, mas o menos, 4 GB y al cabo de algunos minutos empieza a aparecer el mensaje de que queda poco espacio en el disco duro, al apagarlo, y volver a encender el PC reaparecen los 4 GB

4.- No puedo acceder al Mi PC ni a Mis Documentos, es decir, no puedo acceder al disco duro

y hay un quinto hecho, que aparentemente, se arreglo solo: no podia navegar en el Firefox, sin embargo, esto lo estoy escribiendo en este navegador...



Me anticipe a los hechos y adjunto el log del HijackThis. Espero me respondan y ayuden a solucionar mis dificultades. Gracias.



Logfile of HijackThis v1.99.1

Scan saved at 20:57:48, on 22-08-2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\ARCHIV~1\AOL\ACS\acsd.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\WINDOWS\system32\oodag.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\ASUS\AI Suite\AiNap\AiNap.exe

C:\Archivos de programa\Asus TeleSky\CmSkype.exe

C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxWatchTray10.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Archivos de programa\lg_fwupdate\fwupdate.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\oodtray.exe

C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe

C:\Archivos de programa\DU Meter\DUMeter.exe

C:\Archivos de programa\LClock\LClock.exe

C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\CPSHelpRunner10.exe

C:\Archivos de programa\Styler\Styler.exe

C:\Archivos de programa\Mx One\mogtr.exe

C:\DOCUME~1\Johnny\CONFIG~1\Temp\{814DC389-F7C4-401E-9432-01475F355270}\Blaero Start Orb.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Pando Networks\Pando\Pando.exe

D:\LadoC\ArchProgramas\SRS Labs\Audio Sandbox\SRSSSC.exe

C:\Archivos de programa\Vidalia Bundle\Vidalia\vidalia.exe

C:\Archivos de programa\ATI Multimedia\main\launchpd.exe

C:\Archivos de programa\ATI Multimedia\main\ATIDtct.EXE

C:\Archivos de programa\ATI Multimedia\RemCtrl\ATIRW.exe

C:\Archivos de programa\UberIcon\UberIcon Manager.exe

C:\Archivos de programa\YzShadow\YzShadow.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Vidalia Bundle\Privoxy\privoxy.exe

C:\Archivos de programa\Vidalia Bundle\Tor\tor.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Documents and Settings\Johnny\Menú Inicio\Programas\Inicio\ventanatransparente.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\ATI Multimedia\main\ATIMMC.exe

C:\WINDOWS\system32\DllHost.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Johnny\CONFIG~1\Temp\Rar$EX01.390\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cl.msn.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mipagina.cl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ati.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: IE7pro BHO - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Archivos de programa\IE7pro\IE7pro.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Archivos de programa\Pando Networks\Pando\PandoIEPlugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Archivos de programa\Styler\TB\StylerTB.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [AsusStartupHelp] C:\Archivos de programa\ASUS\AASP\1.00.15\AsRunHelp.exe

O4 - HKLM\..\Run: [Ai Nap] "C:\Archivos de programa\ASUS\AI Suite\AiNap\AiNap.exe"

O4 - HKLM\..\Run: [CmSkype] "C:\Archivos de programa\Asus TeleSky\CmSkype.exe" RUNSTART

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe

O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot

O4 - HKLM\..\Run: [RoxWatchTray] "C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxWatchTray10.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKLM\..\Run: [LGODDFU] "C:\Archivos de programa\lg_fwupdate\fwupdate.exe" blrun

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [SoundMax] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe

O4 - HKLM\..\Run: [DU Meter] C:\Archivos de programa\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S

O4 - HKLM\..\Run: [LClock] C:\Archivos de programa\LClock\LClock.exe

O4 - HKLM\..\Run: [Blaero Start Orb] C:\Archivos de programa\Blaero Start Orb\Blaero Start Orb.exe

O4 - HKLM\..\Run: [Styler] C:\Archivos de programa\Styler\Styler.exe

O4 - HKLM\..\Run: [Mx_One_Guardian_Tiempo_Real] C:\Archivos de programa\Mx One\mogtr.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized

O4 - HKCU\..\Run: [SRS Audio Sandbox] "D:\LadoC\ArchProgramas\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme

O4 - HKCU\..\Run: [Vidalia] "C:\Archivos de programa\Vidalia Bundle\Vidalia\vidalia.exe"

O4 - HKCU\..\Run: [ATI Launchpad] "C:\Archivos de programa\ATI Multimedia\main\launchpd.exe"

O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Archivos de programa\ATI Multimedia\main\ATIDtct.EXE

O4 - HKCU\..\Run: [ATI Remote Control] C:\Archivos de programa\ATI Multimedia\RemCtrl\ATIRW.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [UberIcon] "C:\Archivos de programa\UberIcon\UberIcon Manager.exe"

O4 - HKCU\..\Run: [Yz Shadow] C:\Archivos de programa\YzShadow\YzShadow.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\CCleaner.exe" /AUTO

O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Startup: ventanatransparente.exe

O4 - Global Startup: America Online 9.0 Tray Icon.lnk = C:\Archivos de programa\America Online 9.0\aoltray.exe

O4 - Global Startup: Privoxy.lnk = C:\Archivos de programa\Vidalia Bundle\Privoxy\privoxy.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Agregar al Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Archivos de programa\IE7pro\IE7pro.dll

O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Archivos de programa\IE7pro\IE7pro.dll

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Archivos de programa\ATI Multimedia\dtv\EXPLBAR.DLL

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211409698531

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\ARCHIV~1\ARCHIV~1\AOL\ACS\acsd.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: Roxio UPnP Renderer 10 - Sonic Solutions - C:\Archivos de programa\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe

O23 - Service: Roxio Upnp Server 10 - Sonic Solutions - C:\Archivos de programa\Roxio\Digital Home 10\RoxioUpnpService10.exe

O23 - Service: LiveShare P2P Server 10 (RoxLiveShare10) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe

O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe

O23 - Service: Roxio Hard Drive Watcher 10 (RoxWatch10) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

[msc hotline sat]

Vemos este fichero sospechoso:



C:\Documents and Settings\Johnny\Menú Inicio\Programas\Inicio\ventanatransparente.exe



renombra su extension a .VIR y envianoslo para analizar y controlar.



Y mientras subelo al VirusTotal, www.viristotal.com/es , y nos posteas el informe resultante



saludos



ms, 24 de Agosto de 2008

[auditorstgo]

Sorry, como lo renombro si no tengo acceso a Mi Pc y en general a ver el disco duro???

[auditorstgo]

Y por otro lado, al seguir el link indicado me lleva a una pagina de enlaces, y alli no que hacer...

[msc hotline sat]

Mira si arrancando en modo seguro tienes acceso... :



https://foros.zonavirus.com/viewtopic.php?f=5&t=5266



saludos



ms, 24 de Agosto de 2008





NOTA: Y como lograste pasar el HJT si no tienes acceso al disco duro ??? . ms.

[auditorstgo]

A ver:

Descargue el Hjt y lo active desde el escritorio y el log queda en pantalla.

Acabo de descubrir que el icono del IE, en el escritorio, frue cambiado por el del Firefox y carga el Firefox Super extraño verdad???

[auditorstgo]

Tres cosas:



1.- Estoy en modo seguro

2.- Que hay de la pagina del enlace... no me lleva a ninguna parte y

3.- Como les envio el archivo solicitado???

[msc hotline sat]

Mira si arrancando en modo seguro puedes acceder y renombra a .VIR la extensión del fichero que te indicaba, C:\Documents and Settings\Johnny\Menú Inicio\Programas\Inicio\ventanatransparente.exe , y lo subes al VIRUSTOTAL, www.virustotal.com/es y nos posteas el informe resultante.



Luego mira si ya puedes acceder arrancando en modo normal, y sino tras ello lanza el ELISTARA, que controla algunos virus que hacen lo mismo, a ver si restaura claves modificadas al respecto y tras ello, prueba de nuevo reinciiar y ver si accedes a las unidades de disco duro...


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 24 de Agostod e 2008

[auditorstgo]

Aqui va el informe del virus total:



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.8.21.0 2008.08.22 -

AntiVir 7.8.1.23 2008.08.22 -

Authentium 5.1.0.4 2008.08.23 -

Avast 4.8.1195.0 2008.08.22 -

AVG 8.0.0.161 2008.08.22 -

BitDefender 7.2 2008.08.23 -

CAT-QuickHeal 9.50 2008.08.22 -

ClamAV 0.93.1 2008.08.23 -

DrWeb 4.44.0.09170 2008.08.22 -

eSafe 7.0.17.0 2008.08.21 Suspicious File

eTrust-Vet 31.6.6040 2008.08.22 -

Ewido 4.0 2008.08.22 -

F-Prot 4.4.4.56 2008.08.23 -

F-Secure 7.60.13501.0 2008.08.23 -

Fortinet 3.14.0.0 2008.08.23 -

GData 2.0.7306.1023 2008.08.20 -

Ikarus T3.1.1.34.0 2008.08.23 Trojan-Spy.Win32.Agent.bqt

K7AntiVirus 7.10.425 2008.08.22 -

Kaspersky 7.0.0.125 2008.08.23 -

McAfee 5368 2008.08.22 -

Microsoft 1.3807 2008.08.23 -

NOD32v2 3381 2008.08.22 archive damaged

Norman 5.80.02 2008.08.22 -

Panda 9.0.0.4 2008.08.22 Suspicious file

PCTools 4.4.2.0 2008.08.22 -

Prevx1 V2 2008.08.23 -

Rising 20.58.42.00 2008.08.22 -

Sophos 4.32.0 2008.08.23 -

Sunbelt 3.1.1571.1 2008.08.23 -

Symantec 10 2008.08.23 -

TheHacker 6.3.0.6.060 2008.08.23 -

TrendMicro 8.700.0.1004 2008.08.22 -

VBA32 3.12.8.4 2008.08.22 -

ViRobot 2008.8.22.1346 2008.08.22 -

VirusBuster 4.5.11.0 2008.08.22 -

Webwasher-Gateway 6.6.2 2008.08.23 -

Información adicional

Tamano archivo: 365436 bytes

MD5...: 7e58d5a03af655cf02bae9dbe373648f

SHA1..: 9ce1720f84efd468f4e7bd56ead2ef6b8724636e

SHA256: 11a8c76f297dacfdbe989245280256a51a966240c3e9e42a6e081995ad3646e3

SHA512: a660248a84e59423f202a2e0df6b566400dca428c11ebafb367105e3cf7de837

6169e3d2befab19da83f9b6ff93462cdbda485c4df2e1d164cf794bb6ba6013b

PEiD..: UPX 2.93 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x4961f0

timedatestamp.....: 0x47d3fe43 (Sun Mar 09 15:12:03 2008)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x66000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x67000 0x30000 0x2fe00 8.00 fe2af0b42c3913e2656e6e260d90879a

.rsrc 0x97000 0x29000 0x29000 4.97 3c4011216763b91edfcda14b22232478



( 12 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess

> ADVAPI32.dll: RegCloseKey

> COMCTL32.dll: -

> comdlg32.dll: GetOpenFileNameA

> GDI32.dll: BitBlt

> ole32.dll: CoInitialize

> OLEAUT32.dll: -

> SHELL32.dll: DragFinish

> USER32.dll: GetDC

> VERSION.dll: VerQueryValueA

> WINMM.dll: mixerOpen

> WSOCK32.dll: -



( 0 exports )

packers (F-Prot): UPX_LZMA

packers (Kaspersky): UPX

[msc hotline sat]

Pues que pena, parece que el fichero está dañado: NOD32v2 3381 2008.08.22 archive damaged



aunque hay rutinas viricas: Ikarus T3.1.1.34.0 2008.08.23 Trojan-Spy.Win32.Agent.bqt



pero puede que no se pueda monitorizar si está dañado, ya veremos...



Sea como fuere, una vez renombrado a .VIR ya no incordiará



Comentenos sus progresos al respecto, gracias



saludos



ms, 24 de Agosto de 2008

[auditorstgo]

Antes trate de bajar el Elistara, pero el Kaspersky indico que esta infectado Es correcto???

[auditorstgo]

Ahora ya lo baje... lo corro igual????

[msc hotline sat]

Ni caso, es un falso positivo debido a alguna de las miles de cadenas que contiene para deteccion de los malwares, ya es conocido.



Deben desactivarse los antivirus tanto para descargarlo como para probarlo (o arrancar en modo seguro con funciones de red)



saludos



ms, 24 de Agosto de 2008

[auditorstgo]

El log del Eli



Sat Aug 23 01:30:36 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Eliminada Carpeta "%WinDir%\PeerNet"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Aug 23 01:31:44 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RXANALOGCAPTURE10.DLL --> Eliminado, AdClicker.BJ(BHO)

C:\Archivos de programa\CyberLink\PowerDVD\QT3SUPPORT4.DLL --> Eliminado, ISTBar

C:\Archivos de programa\Pando Networks\Pando\ASKMINIINST.EXE --> Eliminado, DownLoader.Agent.OPL

C:\Archivos de programa\Pando Networks\Pando\JAMANMINIINST.EXE --> Eliminado, DownLoader.Agent.OPL

C:\Archivos de programa\Pando Networks\Pando\VEOHMINIINST.EXE --> Eliminado, DownLoader.Agent.OPL

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\FlyakiteOSX\Tools\WFPDISABLE.EXE --> Eliminado, RiskTool.WFPDisabler

C:\WINDOWS\system32\CLOSEAPP.EXE --> Eliminado, RiskTool.CloseApp

C:\WINDOWS\system32\VIMC.EXE --> Eliminado, RiskTool.CloseApp(dropper)



Nº Total de Directorios: 7462

Nº Total de Ficheros: 70290

Nº de Ficheros Analizados: 24567

Nº de Ficheros Infectados: 9

Nº de Ficheros Limpiados:

[auditorstgo]

Nº de Ficheros Limpiados: 9

[auditorstgo]

Estoy en modo normal y no ha cambiado nada, todo sigue igual: sin acceso a Mi Pc, sin navegar en el IE y el icono correspondiente al acesso del IE (en el escritorio), o sea la "e", cambiado por el del Firefox y abriendo el Firefox y el IE tratando de bajar como archivo la pagina que se llama



Dejo el nuevo log del Hjt



Logfile of HijackThis v1.99.1

Scan saved at 2:17:24, on 23-08-2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\ARCHIV~1\AOL\ACS\acsd.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\wanmpsvc.exe

C:\Archivos de programa\ASUS\AI Suite\AiNap\AiNap.exe

C:\Archivos de programa\Asus TeleSky\CmSkype.exe

C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxWatchTray10.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Archivos de programa\lg_fwupdate\fwupdate.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\oodtray.exe

C:\Archivos de programa\DU Meter\DUMeter.exe

C:\Archivos de programa\LClock\LClock.exe

C:\Archivos de programa\Styler\Styler.exe

C:\Archivos de programa\Mx One\mogtr.exe

C:\DOCUME~1\Johnny\CONFIG~1\Temp\{C4864667-1D91-4DB8-A34B-D2A44F6BC957}\Blaero Start Orb.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe

C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\CPSHelpRunner10.exe

C:\Archivos de programa\Pando Networks\Pando\Pando.exe

D:\LadoC\ArchProgramas\SRS Labs\Audio Sandbox\SRSSSC.exe

C:\Archivos de programa\Vidalia Bundle\Vidalia\vidalia.exe

C:\Archivos de programa\ATI Multimedia\main\launchpd.exe

C:\Archivos de programa\ATI Multimedia\main\ATIDtct.EXE

C:\Archivos de programa\ATI Multimedia\RemCtrl\ATIRW.exe

C:\Archivos de programa\UberIcon\UberIcon Manager.exe

C:\Archivos de programa\YzShadow\YzShadow.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\Vidalia Bundle\Tor\tor.exe

C:\Archivos de programa\Vidalia Bundle\Privoxy\privoxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\WINDOWS\explorer.exe

C:\DOCUME~1\Johnny\CONFIG~1\Temp\Rar$EX09.312\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cl.msn.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.mipagina.cl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ati.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: IE7pro BHO - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Archivos de programa\IE7pro\IE7pro.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Archivos de programa\Pando Networks\Pando\PandoIEPlugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Archivos de programa\Styler\TB\StylerTB.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [AsusStartupHelp] C:\Archivos de programa\ASUS\AASP\1.00.15\AsRunHelp.exe

O4 - HKLM\..\Run: [Ai Nap] "C:\Archivos de programa\ASUS\AI Suite\AiNap\AiNap.exe"

O4 - HKLM\..\Run: [CmSkype] "C:\Archivos de programa\Asus TeleSky\CmSkype.exe" RUNSTART

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe

O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot

O4 - HKLM\..\Run: [RoxWatchTray] "C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxWatchTray10.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKLM\..\Run: [LGODDFU] "C:\Archivos de programa\lg_fwupdate\fwupdate.exe" blrun

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [SoundMax] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe

O4 - HKLM\..\Run: [DU Meter] C:\Archivos de programa\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S

O4 - HKLM\..\Run: [LClock] C:\Archivos de programa\LClock\LClock.exe

O4 - HKLM\..\Run: [Blaero Start Orb] C:\Archivos de programa\Blaero Start Orb\Blaero Start Orb.exe

O4 - HKLM\..\Run: [Styler] C:\Archivos de programa\Styler\Styler.exe

O4 - HKLM\..\Run: [Mx_One_Guardian_Tiempo_Real] C:\Archivos de programa\Mx One\mogtr.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized

O4 - HKCU\..\Run: [SRS Audio Sandbox] "D:\LadoC\ArchProgramas\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme

O4 - HKCU\..\Run: [Vidalia] "C:\Archivos de programa\Vidalia Bundle\Vidalia\vidalia.exe"

O4 - HKCU\..\Run: [ATI Launchpad] "C:\Archivos de programa\ATI Multimedia\main\launchpd.exe"

O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Archivos de programa\ATI Multimedia\main\ATIDtct.EXE

O4 - HKCU\..\Run: [ATI Remote Control] C:\Archivos de programa\ATI Multimedia\RemCtrl\ATIRW.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [UberIcon] "C:\Archivos de programa\UberIcon\UberIcon Manager.exe"

O4 - HKCU\..\Run: [Yz Shadow] C:\Archivos de programa\YzShadow\YzShadow.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\CCleaner.exe" /AUTO

O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Startup: ventanatransparente.vir

O4 - Global Startup: America Online 9.0 Tray Icon.lnk = C:\Archivos de programa\America Online 9.0\aoltray.exe

O4 - Global Startup: Privoxy.lnk = C:\Archivos de programa\Vidalia Bundle\Privoxy\privoxy.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Agregar al Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Archivos de programa\IE7pro\IE7pro.dll

O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Archivos de programa\IE7pro\IE7pro.dll

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Archivos de programa\ATI Multimedia\dtv\EXPLBAR.DLL

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211409698531

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\ARCHIV~1\ARCHIV~1\AOL\ACS\acsd.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: Roxio UPnP Renderer 10 - Sonic Solutions - C:\Archivos de programa\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe

O23 - Service: Roxio Upnp Server 10 - Sonic Solutions - C:\Archivos de programa\Roxio\Digital Home 10\RoxioUpnpService10.exe

O23 - Service: LiveShare P2P Server 10 (RoxLiveShare10) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe

O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe

O23 - Service: Roxio Hard Drive Watcher 10 (RoxWatch10) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

[auditorstgo]

Plis no lo cierrenb. Continuo mañana. Es hora de dormir....

[msc hotline sat]

Pues solo se ve esta clave ya tonta:



O4 - Startup: ventanatransparente.vir



puedes eliminarla, pero no creo que ya haga nada...





Por si se ocultara en otras claves a las que nop llega el HJT, prueba el SPROCES y nos posteas el c:\sproclog.txt resultante:






[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 24 de Agosto de 2008









NOTA: y no te preocupes que no vamos a cerrar el Tema, vete a dormir que ya son mas de las 4 AM en tu pais, yo ya voy a desayunar (aqui son 5 horas mas). ms.

[auditorstgo]

Hola, aqui estoy nuevamente... El compu sigue igual, nada [b][i]ha[/i][/b] cambiado



Sat Aug 23 23:29:55 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIV~1\ARCHIV~1\AOL\ACS\ACSD.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG ANTI-SPYWARE 7.5\GUARD.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 7.0\AVP.EXE

C:\WINDOWS\SYSTEM32\OODAG.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ROXIO SHARED\10.0\SHAREDCOM\ROXWATCH10.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\WINDOWS\WANMPSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ROXIO SHARED\10.0\SHAREDCOM\ROXMEDIADB10.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ASUS\AI SUITE\AINAP\AINAP.EXE

C:\ARCHIVOS DE PROGRAMA\ASUS TELESKY\CMSKYPE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ROXIO SHARED\10.0\SHAREDCOM\ROXWATCHTRAY10.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ROXIO SHARED\10.0\SHAREDCOM\CPSHELPRUNNER10.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 7.0\AVP.EXE

C:\ARCHIVOS DE PROGRAMA\LG_FWUPDATE\FWUPDATE.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAX4.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\CORE\SMAX4PNP.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE

C:\WINDOWS\SYSTEM32\OODTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\DU METER\DUMETER.EXE

C:\ARCHIVOS DE PROGRAMA\LCLOCK\LCLOCK.EXE

C:\DOCUME~1\JOHNNY\CONFIG~1\TEMP\{7FC83AF8-A86A-4473-B1FB-54C083C6B125}\BLAERO START ORB.EXE

C:\ARCHIVOS DE PROGRAMA\STYLER\STYLER.EXE

C:\ARCHIVOS DE PROGRAMA\MX ONE\MOGTR.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG ANTI-SPYWARE 7.5\AVGAS.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\ARCHIVOS DE PROGRAMA\PANDO NETWORKS\PANDO\PANDO.EXE

D:\LADOC\ARCHPROGRAMAS\SRS LABS\AUDIO SANDBOX\SRSSSC.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE

C:\ARCHIVOS DE PROGRAMA\VIDALIA BUNDLE\VIDALIA\VIDALIA.EXE

C:\ARCHIVOS DE PROGRAMA\ATI MULTIMEDIA\MAIN\LAUNCHPD.EXE

C:\ARCHIVOS DE PROGRAMA\ATI MULTIMEDIA\MAIN\ATIDTCT.EXE

C:\ARCHIVOS DE PROGRAMA\ATI MULTIMEDIA\REMCTRL\ATIRW.EXE

C:\ARCHIVOS DE PROGRAMA\ATI MULTIMEDIA\MAIN\ATIMMC.EXE

C:\ARCHIVOS DE PROGRAMA\UBERICON\UBERICON MANAGER.EXE

C:\ARCHIVOS DE PROGRAMA\YZSHADOW\YZSHADOW.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\ARCHIVOS DE PROGRAMA\VIDALIA BUNDLE\TOR\TOR.EXE

C:\ARCHIVOS DE PROGRAMA\VIDALIA BUNDLE\PRIVOXY\PRIVOXY.EXE

C:\WINDOWS\SYSTEM32\DLLHOST.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\AMERICA ONLINE 9.0\WAOL.EXE

C:\ARCHIVOS DE PROGRAMA\AMERICA ONLINE 9.0\SHELLMON.EXE

C:\ARCHIVOS DE PROGRAMA\AMERICA ONLINE 9.0\AOLWBSPD.EXE

C:\DOCUMENTS AND SETTINGS\JOHNNY\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mipagina.cl

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: IE7pro BHO - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Archivos de programa\IE7pro\IE7pro.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Archivos de programa\Pando Networks\Pando\PandoIEPlugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Archivos de programa\Styler\TB\StylerTB.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized

O4 - HKCU\..\Run: []

O4 - HKCU\..\Run: [SRS Audio Sandbox] "D:\LadoC\ArchProgramas\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme

O4 - HKCU\..\Run: [Vidalia] "C:\Archivos de programa\Vidalia Bundle\Vidalia\vidalia.exe"

O4 - HKCU\..\Run: [ATI Launchpad] "C:\Archivos de programa\ATI Multimedia\main\launchpd.exe"

O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Archivos de programa\ATI Multimedia\main\ATIDtct.EXE

O4 - HKCU\..\Run: [ATI Remote Control] C:\Archivos de programa\ATI Multimedia\RemCtrl\ATIRW.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [DLD.EXE]

O4 - HKCU\..\Run: [UberIcon] "C:\Archivos de programa\UberIcon\UberIcon Manager.exe"

O4 - HKCU\..\Run: [Yz Shadow] C:\Archivos de programa\YzShadow\YzShadow.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\CCleaner.exe" /AUTO

O4 - HKLM\..\Run: [AsusStartupHelp] C:\Archivos de programa\ASUS\AASP\1.00.15\AsRunHelp.exe

O4 - HKLM\..\Run: [Ai Nap] "C:\Archivos de programa\ASUS\AI Suite\AiNap\AiNap.exe"

O4 - HKLM\..\Run: [CmSkype] "C:\Archivos de programa\Asus TeleSky\CmSkype.exe" RUNSTART

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe

O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot

O4 - HKLM\..\Run: []

O4 - HKLM\..\Run: [RoxWatchTray] "C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxWatchTray10.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKLM\..\Run: [LGODDFU] "C:\Archivos de programa\lg_fwupdate\fwupdate.exe" blrun

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [SoundMax] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe

O4 - HKLM\..\Run: [DU Meter] C:\Archivos de programa\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S

O4 - HKLM\..\Run: [LClock] C:\Archivos de programa\LClock\LClock.exe

O4 - HKLM\..\Run: [Blaero Start Orb] C:\Archivos de programa\Blaero Start Orb\Blaero Start Orb.exe

O4 - HKLM\..\Run: [Styler] C:\Archivos de programa\Styler\Styler.exe

O4 - HKLM\..\Run: [Mx_One_Guardian_Tiempo_Real] C:\Archivos de programa\Mx One\mogtr.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - Startup: desktop.ini

O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk

O4 - Startup: ventanatransparente.vir

O4 - Global Startup: America Online 9.0 Tray Icon.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Privoxy.lnk

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Agregar al Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Archivos de programa\IE7pro\IE7pro.dll

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Archivos de programa\ATI Multimedia\dtv\EXPLBAR.DLL

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211409698531

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7247881A-9A78-41A7-93FA-D4DBB3E2E1B1}: NameServer = 205.188.146.145

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: KLOGON - C:\WINDOWS\SYSTEM32\KLOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

ShellExecuteHooks: {57B86673-276A-48B2-BAE7-C6DBB3020EB8} - AVG Anti-Spyware 7.5 - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\ARCHIV~1\ARCHIV~1\AOL\ACS\acsd.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

**O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: Roxio Upnp Server 10 - Sonic Solutions - C:\Archivos de programa\Roxio\Digital Home 10\RoxioUpnpService10.exe

O23 - Service: LiveShare P2P Server 10 (RoxLiveShare10) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe

O23 - Service: Roxio Hard Drive Watcher 10 (RoxWatch10) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

O23 - Service: {95808DC4-FA4A-4c74-92FE-5B863F82066B} - Cyberlink Corp. - C:\Archivos de programa\CyberLink\PowerDVD\000.fcl



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ADI UAA Function Driver for High Definition Audio Service (ADIHdAudAddService) - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\ADIHdAud.sys

O23 - Service: AE Audio Service (AEAudio) - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\AEAudio.sys

O23 - Service: ATI Remote Wonder II - Jungo - C:\WINDOWS\SYSTEM32\drivers\ATIRWVD.SYS

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: ATI T200 Unified AVStream service (ATIAVAIW) - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\atinavt2.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Kaspersky Anti-Virus NDIS Filter (klim5) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klim5.sys

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Roxio UPnP Renderer 10 - Sonic Solutions - C:\Archivos de programa\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe

O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SenFilt Service (SenFiltService) - Sensaura - C:\WINDOWS\SYSTEM32\drivers\Senfilt.sys

O23 - Service: SRS Labs Audio Sandbox (WDM) (SRS_SSCFilter) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\srs_sscfilter_i386.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TVICHW32 - EnTech Taiwan - C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS

O23 - Service: WAN Miniport (ATW) (wanatw) - America Online, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\wanatw4.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: RxFilter - Sonic Solutions - C:\WINDOWS\SYSTEM32\DRIVERS\RxFilter.sys



37 Servicios.

15 de Carga Automatica.

20 de Carga Manual.

2 Deshabilitados.

[msc hotline sat]

No parece que hayas eliminado la clave "tonta" que se te pedía eliminar:


[quote]Pues solo se ve esta clave ya tonta:



O4 - Startup: ventanatransparente.vir



puedes eliminarla, pero no creo que ya haga nada...[/quote]

Y si lo has hecho, elimina el fichero de la carpeta inicio:





en ...\menu inicio\programas\inicio eliminar el fichero : [b][i]ventanatransparente.vir[/i][/b]



y aparte de ello, vamos a rizar el rizo...:



buscar DLD.exe con un Inicio-> Buscar (seleccionando ocultos y demas) y subirlo al VirusTotal e informanos del resultado



ver que es eso de privoxy.lnk y el fichero que lanza subirlo tambien al VirusTotal y nos informas del resultado



y tiene configurados servicios de AOL, lo cual no es normal en Chile, son voluntarios ???



Y es lo que podemos extraer como atípico del log posteado



Aparte de lo indicado no vemos nada mas, por lo que puede que no sea visible o que no se trate de claves sino de ficheros eliminados o modificados, por lo que cabría pensar en una REPARACION de sistema...



comentanos los resultados, gracias



saludos



ms, 24 de agosto de 2008

[auditorstgo]

ms: imagino que hoy domingo estaras haciendo algo de vida familiar... espero lo disfrutes. En mi tarde de hoy, por aca, volvere a conectarme, a ver si has encontrado alguna solucion a mi problema... a proposito que opinas de lo siguiente:



138306 files scanned, 4 file(s) infected on your disk drives.





No viruses were detected in memory.

[b]

Your computer is free of known threats. Virus Detection does not check compressed files.



Your computer appears safe for now. For real-time protection from viruses, hackers and privacy threats, upgrade to Norton Internet Security™.



No viruses were detected in memory.



The scan was cancelled before finishing. To restart the scan, click here.



Your computer is free of known threats. Virus Detection does not check compressed files.



Your computer appears safe for now. For real-time protection from viruses, hackers and privacy threats, upgrade to Norton Internet Security™.



Search for the name of the threat(s) listed below on the Symantec Security Response site for removal information.



Warning! The scan detected a virus that is active in your computer's memory.

The scan ended to prevent further infection.



You should shut down your computer immediately and restart it with an antivirus rescue disk or similar tool.





No viruses were detected in memory.



Your computer is infected with at least one known virus or Trojan horse.



Search for the name of the threat(s) listed below on the Symantec Security Response site for removal information.





No viruses were detected in memory.



Your computer is infected with at least one known virus or Trojan horse.



Note: The scan was cancelled before finishing. There may be more infected files on this computer.



Search for the name of the threat(s) listed below on the Symantec Security Response site for removal information.





A scan has not been run. To start Virus Detection, click here.



[b]D:\Bodega\PROGRAMAS\Anti_espias-virus\EliStarA.exe is infected with Trojan.Zlob

D:\Archivos de programa\WinRAR\SysTools\Trial-Reset.exe is infected with Trojan Horse

D:\Archivos de programa\WinRAR\SysTools\Plugins\Empty Key.dll is infected with Trojan Horse

D:\Archivos de programa\WinRAR\Setup&CabPacker\SpWizard.exe is infected with Trojan Horse [/b]

[msc hotline sat]

Bueno, veamos estos tres ficheros :



D:\Archivos de programa\WinRAR\SysTools\Trial-Reset.exe is infected with Trojan Horse

D:\Archivos de programa\WinRAR\SysTools\Plugins\Empty Key.dll is infected with Trojan Horse

D:\Archivos de programa\WinRAR\Setup&CabPacker\SpWizard.exe is infected with Trojan Horse

(lo del ELISTARA ni caso, es un falso positivo debido a sus miles de cadenas de deteccion)



estos tres ficheros subelos al virustotal.com/es , uno a uno, y nos posteas el informe resultante, gracias



saludos



ms, 24 de Agosto de 2008

[auditorstgo]

En una primera pasada no he encontrado el ddl.exe (creo que corresponde al DirectDownLoad), en cuanto al AOL lo instale yo.



El analisis del Privoxy.exe:



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.8.21.0 2008.08.22 -

AntiVir 7.8.1.23 2008.08.23 -

Authentium 5.1.0.4 2008.08.24 -

Avast 4.8.1195.0 2008.08.23 -

AVG 8.0.0.161 2008.08.23 -

BitDefender 7.2 2008.08.24 -

CAT-QuickHeal 9.50 2008.08.22 -

ClamAV 0.93.1 2008.08.24 -

DrWeb 4.44.0.09170 2008.08.23 -

eSafe 7.0.17.0 2008.08.21 -

eTrust-Vet 31.6.6044 2008.08.23 -

Ewido 4.0 2008.08.23 -

F-Prot 4.4.4.56 2008.08.24 -

F-Secure 7.60.13501.0 2008.08.24 -

Fortinet 3.14.0.0 2008.08.24 -

GData 2.0.7306.1023 2008.08.20 -

Ikarus T3.1.1.34.0 2008.08.24 -

K7AntiVirus 7.10.427 2008.08.23 -

Kaspersky 7.0.0.125 2008.08.24 -

McAfee 5368 2008.08.22 -

Microsoft 1.3807 2008.08.24 -

NOD32v2 3382 2008.08.23 -

Norman 5.80.02 2008.08.22 -

Panda 9.0.0.4 2008.08.23 -

PCTools 4.4.2.0 2008.08.23 -

Prevx1 V2 2008.08.24 -

Rising 20.58.52.00 2008.08.24 -

Sophos 4.32.0 2008.08.23 -

Sunbelt 3.1.1575.1 2008.08.23 -

Symantec 10 2008.08.24 -

TheHacker 6.3.0.6.060 2008.08.23 -

TrendMicro 8.700.0.1004 2008.08.23 -

VBA32 3.12.8.4 2008.08.23 -

ViRobot 2008.8.22.1346 2008.08.22 -

VirusBuster 4.5.11.0 2008.08.23 -

Webwasher-Gateway 6.6.2 2008.08.24 -

Información adicional

Tamano archivo: 250368 bytes

MD5...: df5cf18a5d452a1634ced071c82834de

SHA1..: 7352014d231ed6c2e0f478ce219a2dc2503c49db

SHA256: 6b9125dd57a1c414ed5fed57560d1709d11402d459609a0239a6599f436b50c0

SHA512: 40486c082c8ef00c74f6d6dc9745ef7d3226750383a14c8379e49e428d98a722

a6ec9cb5bfb3bd42797414a7a6ac2d2123774e56abef6fad34b0c75a3beb8877

PEiD..: Dev-C++ 4.9.9.2 -> Bloodshed Software

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x401270

timedatestamp.....: 0x4561bc1e (Mon Nov 20 14:30:54 2006)

machinetype.......: 0x14c (I386)



( 6 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x2c490 0x2c600 6.17 63c1ad3baeef267b258976538ba5243c

.data 0x2e000 0xb00 0xc00 3.43 6c94bdb4912c073c6f354882ac01b8fa

.rdata 0x2f000 0xceb0 0xd000 5.39 785d7348a136bcf83c8167913e52c43c

.bss 0x3c000 0x950 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.idata 0x3d000 0x10f8 0x1200 4.91 86f3ffd6d63c891f69df33eff89b5c53

.rsrc 0x3f000 0x18c8 0x1a00 3.35 58df88bfceae3fd319673c1560e6de1d



( 7 imports )

> msvcrt.dll: _putenv, _stat, _tzset

> msvcrt.dll: __getmainargs, __mb_cur_max, __p___argc, __p___argv, __p__environ, __p__fmode, __set_app_type, _assert, _beginthread, _cexit, _errno, _filbuf, _iob, _isctype, _onexit, _pctype, _setmode, _snprintf, _strnicmp, atexit, atoi, difftime, exit, fclose, fflush, fgets, fopen, fprintf, fputs, fread, free, fseek, ftell, getenv, gmtime, localtime, malloc, memcpy, memmove, memset, mktime, printf, puts, rand, realloc, setbuf, signal, sprintf, srand, sscanf, strcat, strchr, strcmp, strcpy, strerror, strftime, strlen, strncat, strncmp, strncpy, strpbrk, strstr, strtol, time, tolower, toupper, ungetc

> GDI32.dll: DeleteObject, GetStockObject

> KERNEL32.dll: CreateEventA, EnterCriticalSection, ExitProcess, FreeLibrary, GetCommandLineA, GetCurrentThreadId, GetFullPathNameA, GetLastError, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, GetStartupInfoA, InitializeCriticalSection, LeaveCriticalSection, LoadLibraryA, SetCurrentDirectoryA, SetEvent, SetLastError, SetUnhandledExceptionFilter, Sleep, WaitForSingleObject

> SHELL32.DLL: ShellExecuteA, Shell_NotifyIconA

> USER32.dll: CallWindowProcA, CheckMenuItem, ClientToScreen, CreateWindowExA, DefWindowProcA, DestroyMenu, DestroyWindow, DispatchMessageA, EnableMenuItem, GetClientRect, GetCursorPos, GetMessageA, GetSubMenu, GetWindowLongA, GetWindowTextLengthA, KillTimer, LoadIconA, LoadMenuA, MessageBoxA, PostMessageA, PostQuitMessage, RegisterClassA, RegisterClassExA, RegisterWindowMessageA, ScreenToClient, SendMessageA, SetForegroundWindow, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, TrackPopupMenu, TranslateMessage, UpdateWindow

> WSOCK32.DLL: WSAGetLastError, WSAStartup, __WSAFDIsSet, accept, bind, closesocket, connect, gethostbyaddr, gethostbyname, getsockname, htonl, htons, inet_addr, inet_ntoa, listen, ntohl, recv, select, send, setsockopt, socket



( 0 exports )

[msc hotline sat]

Bien, pues a ver que nos dice el virustotal de los otros tres que ha encontrado el Norton...



Si se confirma, no los borres, solo renombralos a .VIR y nos los envias para analizar y controlar en proximas versiones de nuestras utilidades, y asi poder ver en la minitorizacion las claves que modifican y poder restaurarlas...



ya lo veremos en los informes que nos postees, gracias



saludos



ms, 24 de Agosto de 2008

[auditorstgo]

Aqui va el primero:



Análisis del archivo Trial-Reset.exe recibido el 24.08.2008 07:59:07 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO

Resultado: 23/35 (65.72%)

Cargando información del servidor..

Su archivo se encuentra encolado en la posición: ___.

Se estima que tendrá que esperar entre ___ y ___

hasta el comienzo del análisis.

No cierre la ventana hasta se haya completado el análisis.

El analizador que estaba procesando su muestra se encuentra detenido,

se va a esperar unos segundos por si fuera posible recuperar el resultado.

Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.

Su archivo está siendo analizado por VirusTotal en estos momentos,

los resultados se iran mostrando a continuación.

Compactar Compactar Imprimir resultados Imprimir resultados

La muestra ha caducado o no existe.

El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.



Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.

Email:



Motor antivirus Versión Última actualización Resultado

AntiVir 7.8.1.23 2008.08.23 TR/Agent.167488

Authentium 5.1.0.4 2008.08.24 W32/Backdoor.BVMA

Avast 4.8.1195.0 2008.08.23 Win32:Trojan-gen {Other}

AVG 8.0.0.161 2008.08.23 Generic10.WMK

BitDefender 7.2 2008.08.24 -

CAT-QuickHeal 9.50 2008.08.22 (Suspicious) - DNAScan

ClamAV 0.93.1 2008.08.24 PUA.Packed.UPack-2

DrWeb 4.44.0.09170 2008.08.23 -

eSafe 7.0.17.0 2008.08.21 Suspicious File

eTrust-Vet 31.6.6044 2008.08.23 -

Ewido 4.0 2008.08.23 -

F-Prot 4.4.4.56 2008.08.24 W32/Backdoor.BVMA

F-Secure 7.60.13501.0 2008.08.24 W32/Suspicious_U.gen

Fortinet 3.14.0.0 2008.08.24 -

GData 2.0.7306.1023 2008.08.20 Win32:Trojan-gen

Ikarus T3.1.1.34.0 2008.08.24 Virus.Win32.Trojan

K7AntiVirus 7.10.427 2008.08.23 -

Kaspersky 7.0.0.125 2008.08.24 -

McAfee 5368 2008.08.22 Generic.dx

Microsoft 1.3807 2008.08.24 -

NOD32v2 3382 2008.08.23 -

Norman 5.80.02 2008.08.22 W32/Suspicious_U.gen

Panda 9.0.0.4 2008.08.23 Generic Trojan

PCTools 4.4.2.0 2008.08.23 Packed/Upack

Prevx1 V2 2008.08.24 Malicious Software

Rising 20.58.52.00 2008.08.24 -

Sophos 4.32.0 2008.08.23 Sus/ComPack-K

Sunbelt 3.1.1575.1 2008.08.23 VIPRE.Suspicious

Symantec 10 2008.08.24 Trojan Horse

TheHacker 6.3.0.6.060 2008.08.23 W32/Behav-Heuristic-060

TrendMicro 8.700.0.1004 2008.08.23 TROJ_Generic.A

VBA32 3.12.8.4 2008.08.23 -

ViRobot 2008.8.22.1346 2008.08.22 -

VirusBuster 4.5.11.0 2008.08.23 Packed/Upack

Webwasher-Gateway 6.6.2 2008.08.24 Trojan.Agent.167488

Información adicional

Tamano archivo: 167488 bytes

MD5...: 2a55450d79b275fbad0fb8fdfc1fe310

SHA1..: bfd4ec9a7355443d68bf0d0a958c12068273e875

SHA256: 09e74f36028f875b26d2faecbeebfcb0ffcd148a9c9abf3f8ff0049eab3b24b0

SHA512: d64741c16877ad123d974152d185cf5348f377042cea26ac56f6bc495fb38938

96f765ae72c0748a2c03233d0813d89c0971c9e1f9d50f28294a4ded8efd6ec8

PEiD..: -

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x401018

timedatestamp.....: 0x4011b0be (Fri Jan 23 23:39:42 2004)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

PS 0x1000 0xf4000 0x1f0 5.35 d90b07313f4bc215ae2a541191fbd866

@Q 0xf5000 0x2d000 0x28c40 8.00 3da3ecf7901dac92bd336cce116b1c86

_HO@ 0x122000 0x1000 0x1f0 5.35 d90b07313f4bc215ae2a541191fbd866



( 0 imports )



( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=3FCD1E37405ED9868E400253A5E41600ED0050BA

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=2a55450d79b275fbad0fb8fdfc1fe310

packers (Kaspersky): PE_Patch, UPack

[msc hotline sat]

bueno, aunque hace una hora decias:


[quote]ms: imagino que hoy domingo estaras haciendo algo de vida familiar... espero lo disfrutes. En mi tarde de hoy, por aca, [/quote]

supongo que ya habrás ido a dormir, pues ya es hora para tí ... lo que era la tarde, mas bien tarde ...tarde , yo diría que muy tarde, pues imagino que sería la madrugada, asi que buenas noches, y hasta hoy mismo...



Sí, es domingo y ademas aun estoy de vacaciones, que aqui es verano !!!



Saludos a tu tierra, de donde tengo buenos recuerdos y buenos amigos, como koga en el foro, y otr@s que no son del foro :mrgreen:



chao



ms, 24 de Agosto de 2008

[msc hotline sat]

Pues no estabas durmiendo, solo un poco dormido, a estas horas !!! (que no es lo mismo ! :roll: )



Bueno, mientras posteaba, tu ya nos has subido el primer informe, pues BINGO, era troyano, aunque no apareciera nin por asomo en los logs ...



Pues renombra su extension a .VIR, y nos lo envias para analizar, ya sabes:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y como que no duermes, veremos si los demas igual...



debe ser muy nuevo, pues el Kaspersky aun no lo pilla, aunque McAfee ya sí:



Kaspersky 7.0.0.125 2008.08.24 -

McAfee 5368 2008.08.22 Generic.dx



bueno, a ver los demás...



saludos



ms, 24 de Agosto de 2008

[auditorstgo]

Y aqui va el tercero (por aqui exactamente son las 02:20):



Análisis del archivo SpWizard.exe recibido el 24.08.2008 08:13:09 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO

Resultado: 11/36 (30.56%)

Cargando información del servidor..

Su archivo se encuentra encolado en la posición: 1.

Se estima que tendrá que esperar entre 38 y 55 segundos

hasta el comienzo del análisis.

No cierre la ventana hasta se haya completado el análisis.

El analizador que estaba procesando su muestra se encuentra detenido,

se va a esperar unos segundos por si fuera posible recuperar el resultado.

Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.

Su archivo está siendo analizado por VirusTotal en estos momentos,

los resultados se iran mostrando a continuación.

Compactar Compactar Imprimir resultados Imprimir resultados

La muestra ha caducado o no existe.

El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.



Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.

Email:



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.8.21.0 2008.08.22 -

AntiVir 7.8.1.23 2008.08.23 TR/PSW.OnlineGames.ZC.90

Authentium 5.1.0.4 2008.08.24 -

Avast 4.8.1195.0 2008.08.23 Win32:Trojan-gen {Other}

AVG 8.0.0.161 2008.08.23 -

BitDefender 7.2 2008.08.24 -

CAT-QuickHeal 9.50 2008.08.22 -

ClamAV 0.93.1 2008.08.24 Trojan.Spy-12063

DrWeb 4.44.0.09170 2008.08.23 Trojan.Click.17167

eSafe 7.0.17.0 2008.08.21 -

eTrust-Vet 31.6.6044 2008.08.23 -

Ewido 4.0 2008.08.23 -

F-Prot 4.4.4.56 2008.08.24 -

F-Secure 7.60.13501.0 2008.08.24 Suspicious:W32/Malware!Gemini

Fortinet 3.14.0.0 2008.08.24 -

GData 2.0.7306.1023 2008.08.20 -

Ikarus T3.1.1.34.0 2008.08.24 Trojan.Click.17167

K7AntiVirus 7.10.427 2008.08.23 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2008.08.24 -

McAfee 5368 2008.08.22 -

Microsoft 1.3807 2008.08.24 -

NOD32v2 3382 2008.08.23 -

Norman 5.80.02 2008.08.22 -

Panda 9.0.0.4 2008.08.23 -

PCTools 4.4.2.0 2008.08.23 -

Prevx1 V2 2008.08.24 Malicious Software

Rising 20.58.52.00 2008.08.24 -

Sophos 4.32.0 2008.08.23 -

Sunbelt 3.1.1575.1 2008.08.23 -

Symantec 10 2008.08.24 Trojan Horse

TheHacker 6.3.0.6.060 2008.08.23 -

TrendMicro 8.700.0.1004 2008.08.23 -

VBA32 3.12.8.4 2008.08.23 Trojan.Click.17167

ViRobot 2008.8.22.1346 2008.08.22 -

VirusBuster 4.5.11.0 2008.08.23 -

Webwasher-Gateway 6.6.2 2008.08.24 Trojan.PSW.OnlineGames.ZC.90

Información adicional

Tamano archivo: 1204224 bytes

MD5...: 09c0446649aeaafd05696786f3f696f5

SHA1..: 81f821fa15435d4bff89c77535bb3e002776da5d

SHA256: 4be22f89d506f22de0b989fc4b8f969a05b05c0ea05440924125a85a02de616d

SHA512: 6b2c6aeadceb51a2940d4b9a898c776d39f2d64bce0ca62e956d0f4d75e1f921

e2bf34d98e7911c1159d1b0b0a96ba77be5b0f76acc5b6e1aa297b417e8baf64

PEiD..: Armadillo v1.71

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x40b730

timedatestamp.....: 0x38e949d1 (Tue Apr 04 01:48:01 2000)

machinetype.......: 0x14c (I386)



( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

PREVIEW 0x1000 0xcb000 0xcab98 5.60 f356feaf6c1574546e403401639362b0

WeijunLi 0xcc000 0x54000 0x536a3 8.00 39a34535464274cb1342ea1b24994d74

.rsrcLL 0x120000 0x4c78 0x4c78 4.05 97eda98b357698ce9f1d134079f2a5e6

.mackt 0x125000 0x2000 0x2000 5.35 a57bf9744db318e88a02173bc7f7d353



( 9 imports )

> advapi32.dll: RegOpenKeyExA, RegCloseKey, RegQueryValueExA, RegQueryValueA, RegCreateKeyExA, RegSetValueExA

> comctl32.dll: ImageList_ReplaceIcon, InitCommonControls, ImageList_Destroy, ImageList_Create

> gdi32.dll: GetStockObject, GetTextExtentPoint32A, BitBlt, CreateFontIndirectA, RectVisible, Escape, ExtTextOutA, SetTextColor, SetBkColor, GetClipBox, CreateBitmap, SelectObject, GetTextMetricsA, DeleteObject, SaveDC, DeleteDC, CreateCompatibleBitmap, RestoreDC, SetROP2, SetBkMode, SetMapMode, SetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, OffsetViewportOrgEx, SetWindowExtEx, SetWindowOrgEx, SelectClipRgn, CreateCompatibleDC, ScaleWindowExtEx, CreateRectRgn, MoveToEx, LineTo, GetDeviceCaps, CreateSolidBrush, CreatePen, CreateDCA, PtVisible, TextOutA, CreateBitmapIndirect, GetObjectA

> kernel32.dll: HeapAlloc, GetStartupInfoA, GetCommandLineA, ExitProcess, HeapFree, RaiseException, RtlUnwind, TerminateProcess, ExitThread, GetTimeZoneInformation, CreateThread, HeapSize, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, UnhandledExceptionFilter, HeapReAlloc, GetACP, GetEnvironmentStrings, GetEnvironmentStringsW, LockResource, GetEnvironmentVariableA, GetFileType, SetUnhandledExceptionFilter, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetVersionExA, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, lstrcat, lstrlen, WinExec, lstrcpy, GetWindowsDirectoryA, DeleteFileA, FindFirstFileA, FindNextFileA, FindClose, GetModuleFileNameA, CreateProcessA, WaitForSingleObject, GetSystemTime, SetFilePointer, GetFileSize, WriteFile, CloseHandle, ReadFile, CreateFileA, FindResourceA, SizeofResource, LoadResource, LockResource, GetTickCount, GetFileAttributesA, GetFullPathNameA, GetVolumeInformationA, FlushFileBuffers, SetErrorMode, GetCurrentProcess, GetOEMCP, FileTimeToLocalFileTime, FileTimeToSystemTime, TlsGetValue, GetCPInfo, GetProcessVersion, EnterCriticalSection, LocalReAlloc, TlsSetValue, TlsFree, GlobalReAlloc, LeaveCriticalSection, TlsAlloc, GlobalHandle, DeleteCriticalSection, GetLastError, InitializeCriticalSection, LocalAlloc, lstrcmp, GlobalFlags, GlobalAlloc, RestoreLastError, GetCurrentThread, MulDiv, CreateEventA, LocalFree, ResumeThread, SuspendThread, SetThreadPriority, MultiByteToWideChar, SetEvent, lstrcpyn, InterlockedDecrement, WideCharToMultiByte, InterlockedIncrement, GetVersion, LoadLibraryA, FreeLibrary, lstrcmpi, GetCurrentThreadId, GlobalGetAtomNameA, GlobalDeleteAtom, GlobalAddAtomA, GlobalFindAtomA, GlobalLock, GetModuleHandleA, GetProcAddress, WritePrivateProfileStringA, GlobalUnlock, GlobalFree, GetPrivateProfileIntA, WritePrivateProfileStructA, GetPrivateProfileStringA, IsBadReadPtr, GetPrivateProfileStructA, IsBadCodePtr, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetStdHandle

> msvfw32.dll: DrawDibRealize, DrawDibClose, DrawDibOpen, DrawDibDraw

> shell32.dll: ShellExecuteA

> user32.dll: GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, ShowWindow, SetWindowTextA, SetDlgItemTextA, UpdateWindow, SendDlgItemMessageA, MapWindowPoints, PeekMessageA, IsDialogMessage, DispatchMessageA, AdjustWindowRectEx, ScreenToClient, CopyRect, IsWindowVisible, WinHelpA, GetClassInfoA, GetMenu, GetMenuItemCount, GetSubMenu, GetMenuItemID, GetFocus, ReleaseCapture, GetKeyState, SetWindowsHookExA, SetPropA, UnhookWindowsHookEx, GetPropA, CallWindowProcA, RemovePropA, GetMessageTime, GetMessagePos, GetLastActivePopup, GetForegroundWindow, SetForegroundWindow, GetWindow, SetWindowPos, RegisterClipboardFormatA, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetNextDlgTabItem, EndDialog, GetActiveWindow, SetActiveWindow, GetSystemMetrics, CreateDialogIndirectParamA, DestroyWindow, GetDlgItem, IsWindowEnabled, GrayStringA, GetCapture, DrawTextA, TabbedTextOutA, IsWindow, GetWindowRect, InflateRect, CharUpperA, RedrawWindow, GetSysColor, FillRect, MessageBeep, CreateWindowExA, RegisterClassA, SetWindowLongA, GetWindowLongA, LoadCursorA, SetCursor, BeginPaint, EndPaint, DefWindowProcA, GetWindowTextA, GetDlgCtrlID, GetWindowTextLengthA, GetDC, ReleaseDC, InvalidateRect, GetParent, PostMessageA, MessageBoxA, EnableWindow, wsprintfA, LoadIconA, SendMessageA, GetClientRect, DestroyMenu, LoadStringA, GetSysColorBrush, PostQuitMessage, GetClassNameA, ClientToScreen, WindowFromPoint, GetWindowDC, ValidateRect, GetMessageA, TranslateMessage, DrawFocusRect, GetCursorPos, PtInRect, CallNextHookEx, GetClassLongA, GetTopWindow, SetFocus, UnregisterClassA, LoadImageA, SetCapture

> winspool.drv: DocumentPropertiesA, OpenPrinterA, ClosePrinter

> comdlg32.dll: GetSaveFileNameA, GetOpenFileNameA



( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=085F2E2A0029AEA3609712D6D859AF0048194F93

[msc hotline sat]

Pues ya es hora de ir a dormir, y yo dentro de un rato a desayunar... :wink:



Bueno, pues otro que tal, a renombrarlo a .VIR, ya sabes, y enviarnoslo para analizar





y como que a este dos lo detectan como ONLINE GAMES:



AntiVir 7.8.1.23 2008.08.23 TR/PSW.OnlineGames.ZC.90



Webwasher-Gateway 6.6.2 2008.08.24 Trojan.PSW.OnlineGames.ZC.90





ademas, vacuna tu ordenador y pendrives que uses con el ELIPEN:


[quote="para DESCARGAR el ELIPEN, msc"] http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

aparte, ahora miraré si habias pasado el ELISTARA... si no hubiera sido asi, hazlo tambien, a ver si pide muestras...



saludos



ms, 24 de Agosto de 2008

[msc hotline sat]

Aparte no veo el informe del Empty Key.dll, quizas lo estas pasando ahora ???



ms