De nuevo Trojan horse generic12.LPV Conhook (SOLUCIONADO)

[glasgas]

Buenas.



Al levantarme esta mañana he abierto el ordenador y he ido directamente a ver si había alguna actualización en Windows Update (por chequear como iba tras lo de los últimos días) y al abrir esta página web con el explorer el antivirus (AVG) ha hecho saltar una ventana (ALERT SHIELD: C:\windows\System32\vtUnkiGx.dll, Trojam Horse Generic12.LPV). He borrado el archivo que el antivirus detectaba.



Luego, siguiendo los pasos del día anterior he apagado el ordenador y en modo seguro he pasado el elistara de nuevo, al abrirse ha aparecido una ventana que decía "Detectado troyano conhook", al acabar el análisis otravez lo de "Sistema infectado por Downloader conhook".



¿Cuál podría ser el motivo de que vuelva a aparecer? ¿tendrá que ver con windows update?



Les pego lo que aparece en el informe:



Fri Nov 14 07:56:09 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AWTTSRIX] -> C:\WINDOWS\SYSTEM32\awttsRIx.dll

Por favor, envienos una muestra del fichero

C:\Muestras\AWTTSRIX.DLL.Muestra EliStartPage v17.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWTTSRIX.DLL --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Fri Nov 14 07:56:53 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1854

Nº Total de Ficheros: 22562

Nº de Ficheros Analizados: 10608

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 14 08:03:33 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 4483

Nº Total de Ficheros: 40869

Nº de Ficheros Analizados: 14547

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.8.09.15 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\awttsRIx.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\AWTTSRIX"

Desinstalado EliNotif.dll



Fri Nov 14 08:10:51 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Nov 14 08:11:02 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1851

Nº Total de Ficheros: 22561

Nº de Ficheros Analizados: 10584

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 14 08:16:27 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 4483

Nº Total de Ficheros: 40869

Nº de Ficheros Analizados: 14547

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Lamento las molestias, pero esto me supera, cuando pensaba que ya había pasado :( (por lo menos he psado una plácida noche por ello).





Un saludo

[lucl]

Por el windows update no es lo que no se si tendras un rootkit que los genere o asi, mandaste la muestra? Peganos log de sprocess y veremos las claves a ver si por ahi encontramos algo, saludos



http://www.zonavirus.com/descargas/sproces.asp

[msc hotline sat]

Se detectó un CONHOOK, que es de la familia VUNDO, de los que necesita el ELINOTIF.DLL para instalarlo en el registro al reiniciar, tras lo cual se instala antes que el virus y asi lo elimina antes de que éste entre en memoria



Pues con ello entendemos que ya debe haber quedado eliminado, confirmenoslo para dar por solucionado el ¡Tema, gracias



saludos



ms, 14-11-2008

[glasgas]

Buenas.

Siguiendo los consejos de Lucl, he ejecutado el sprocess siendo este el resultado:

Fri Nov 14 13:14:24 2008
SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Internet Explorer: (v7.0.5730.13) 0

Procesos Activos:

Código: Seleccionar todo

C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\LEXBCES.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\SYSTEM32\LEXPPS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM32\HKCMD.EXE
C:\WINDOWS\SYSTEM32\IGFXPERS.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_07\BIN\JUSCHED.EXE
C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE
C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE
C:\ARCHIVOS DE PROGRAMA\ADOBE\READER 9.0\READER\READER_SL.EXE
C:\ARCHIV~1\AVG\AVG8\AVGTRAY.EXE
C:\WINDOWS\SYSTEM32\LXSUPMON.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\ARCHIV~1\AVG\AVG8\AVGWDSVC.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\ARCHIV~1\AVG\AVG8\AVGRSX.EXE
C:\ARCHIV~1\AVG\AVG8\AVGEMC.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXINGSERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXSTORESVR.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\3WKF9WLG\SPROCES[1].EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (no name) - {0AF6F4C1-A419-4EED-BA4E-CBF12A16ADFE} - C:\WINDOWS\system32\awtuuRLf.dll
O2 - BHO: (no name) - {6946A48D-F00B-4AA1-A69C-A8D87FE3D760} - C:\WINDOWS\system32\xxyxYoPF.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [avp] C:\RECYCLER\S-1-5-21-0511390191-7479686202-123418449-3822\hdav.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - Startup: desktop.ini
O4 - Global Startup: desktop.ini
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1226619698046
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: AWTUURLF - AWTUURLF.DLL
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:
----------------------
ShellExecuteHooks: {6946A48D-F00B-4AA1-A69C-A8D87FE3D760} -  - C:\WINDOWS\system32\xxyxYoPF.dll (file missing)
ShellExecuteHooks: {0AF6F4C1-A419-4EED-BA4E-CBF12A16ADFE} -  - C:\WINDOWS\system32\awtuuRLf.dll

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: AVG8 Network Redirector (AvgTdiX) - AVG Technologies CZ, s.r.o. - C:\WINDOWS\System32\Drivers\avgtdix.sys
**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):
------------------------------------
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys
O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys
O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation                            - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys
**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

 19 Servicios.
  6 de Carga Automatica.
 10 de Carga Manual.
  3 Deshabilitados.[/i]


Pero en el momento de ejecutarlo, ha vuelto a aparecer la ventan de AVG con:

File: c:\windows\system\32\geBtSKDs.dll
Threat Name: Trojan Horse Generic12.LPV

Process Name: C:\windows \Explorer.EXE
Process ID:1900

además de un potentially unwanted program.  He borrado ambos y he pasado el elistara que me ha vuelto a decir lo de:
Detectado Troyano ConHook, y luego lo de : Sistema infectado por Downloader.ConHook (como esta mañana vamos).

Tras pasarlo esto sale en InfoSAT:

[i] Fri Nov 14 13:24:36 2008
EliStartPage v17.39  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\AWTUURLF] -> C:\WINDOWS\SYSTEM32\awtuuRLf.dll
Por favor, envienos una muestra del fichero
C:\Muestras\AWTUURLF.DLL.Muestra EliStartPage v17.39
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\AWTUURLF.DLL -->  Acceso Denegado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Reinicie para Completar la Limpieza.

	  Fri Nov 14 13:25:27 2008
EliStartPage v17.39  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   1850
Nº Total de Ficheros:      22580
Nº de Ficheros Analizados: 10612
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Fri Nov 14 13:32:03 2008
EliStartPage v17.39  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   4483
Nº Total de Ficheros:      40867
Nº de Ficheros Analizados: 14547
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Sistema Infectado por el Downloader.ConHook
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.09.15 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado DownLoader.ConHook
C:\WINDOWS\SYSTEM32\awtuuRLf.dll -> Eliminado.
Elininada KEY "Winlogon\Notify\AWTUURLF"
Desinstalado EliNotif.dll

	  Fri Nov 14 13:40:31 2008
EliStartPage v17.39  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Fri Nov 14 13:40:39 2008
EliStartPage v17.39  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   1851
Nº Total de Ficheros:      22582
Nº de Ficheros Analizados: 10588
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Fri Nov 14 13:45:41 2008
EliStartPage v17.39  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   1239
Nº Total de Ficheros:      9350
Nº de Ficheros Analizados: 3365
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Exploración Detenida por el Usuario.

	  Fri Nov 14 13:45:47 2008
EliStartPage v17.39  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   4483
Nº Total de Ficheros:      40867
Nº de Ficheros Analizados: 14547
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0[/i]

A ver si es posible hacer algo para que no me salga lo mismo cada día, porque si depende de mi sapiencia informática, mal voy.

Gracias de nuevo y un saludo

[lucl]

Creo que debes pasar este online para ver que te encuentra, tarda mucho pero es muy efectivo. Igual nos ayuda a encontrarlo al malvado que se repite.

https://www.kaspersky.es/downloads/than ... s-download

y estas dos lineas puedes eliminarlas ejecutando hijackthis
O2 - BHO: (no name) - {0AF6F4C1-A419-4EED-BA4E-CBF12A16ADFE} - C:\WINDOWS\system32\awtuuRLf.dll
O2 - BHO: (no name) - {6946A48D-F00B-4AA1-A69C-A8D87FE3D760} - C:\WINDOWS\system32\xxyxYoPF.dll (file missing)

cuando lo hagas reinicia el pc , ejecutas hijackthis de nuevo y veremos si salen, saludos

[glasgas]

Buenas.

Entre el fin de la jornada semanal y un compromiso ineludible, paso el Kaspersky online como sugieren y este es el resultado:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
viernes, 14 de noviembre de 2008 19:11:09
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 14/11/2008
Registros en la base antivirus: 1242443
-------------------------------------------------------------------------------

Código: Seleccionar todo

Configuración del análisis:
	Analizar usando las siguientes bases: standard
	Analizar archivos: verdadero
	Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
	A:\
	C:\
	D:\
	E:\
	F:\
	H:\
	I:\
	J:\
	K:\

Estadísticas:
	Número de objeros analizados: 74736
	Virus encontrados: 3
	Objetos infectados: 4 / 0
	Objetos sospechosos: 0
	Duración del análisis: 00:33:45

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat	Object is locked	saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat	Object is locked	saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat	Object is locked	saltado
C:\Documents and Settings\LocalService\Cookies\index.dat	Object is locked	saltado
C:\Documents and Settings\LocalService\NTUSER.DAT	Object is locked	saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG	Object is locked	saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat	Object is locked	saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT	Object is locked	saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG	Object is locked	saltado
C:\Documents and Settings\USER\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	Object is locked	saltado
C:\Documents and Settings\USER\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat	Object is locked	saltado
C:\Documents and Settings\USER\Configuración local\Datos de programa\Ahead\Nero Home\bl.db	Object is locked	saltado
C:\Documents and Settings\USER\Configuración local\Datos de programa\Ahead\Nero Home\is2.db	Object is locked	saltado
C:\Documents and Settings\USER\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat	Object is locked	saltado
C:\Documents and Settings\USER\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat	Object is locked	saltado
C:\Documents and Settings\USER\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	saltado
C:\Documents and Settings\USER\Configuración local\Historial\History.IE5\index.dat	Object is locked	saltado
C:\Documents and Settings\USER\Configuración local\Historial\History.IE5\MSHist012008111420081115\index.dat	Object is locked	saltado
C:\Documents and Settings\USER\Cookies\index.dat	Object is locked	saltado
C:\Documents and Settings\USER\NTUSER.DAT	Object is locked	saltado
C:\Documents and Settings\USER\ntuser.dat.LOG	Object is locked	saltado
C:\RECYCLER\S-1-5-21-0511390191-7479686202-123418449-3822\hdav.exe	Infectados: Trojan.Win32.Inject.juq	saltado
C:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	saltado
C:\System Volume Information\_restore{F3F54E27-34AF-4329-A6EC-3B64DB283A72}\RP58\change.log	Object is locked	saltado
C:\WINDOWS\Debug\PASSWD.LOG	Object is locked	saltado
C:\WINDOWS\SchedLgU.Txt	Object is locked	saltado
C:\WINDOWS\system32\config\AppEvent.Evt	Object is locked	saltado
C:\WINDOWS\system32\config\default	Object is locked	saltado
C:\WINDOWS\system32\config\default.LOG	Object is locked	saltado
C:\WINDOWS\system32\config\Internet.evt	Object is locked	saltado
C:\WINDOWS\system32\config\ODiag.evt	Object is locked	saltado
C:\WINDOWS\system32\config\OSession.evt	Object is locked	saltado
C:\WINDOWS\system32\config\SAM	Object is locked	saltado
C:\WINDOWS\system32\config\SAM.LOG	Object is locked	saltado
C:\WINDOWS\system32\config\SecEvent.Evt	Object is locked	saltado
C:\WINDOWS\system32\config\SECURITY	Object is locked	saltado
C:\WINDOWS\system32\config\SECURITY.LOG	Object is locked	saltado
C:\WINDOWS\system32\config\software	Object is locked	saltado
C:\WINDOWS\system32\config\software.LOG	Object is locked	saltado
C:\WINDOWS\system32\config\SysEvent.Evt	Object is locked	saltado
C:\WINDOWS\system32\config\system	Object is locked	saltado
C:\WINDOWS\system32\config\system.LOG	Object is locked	saltado
C:\WINDOWS\system32\h323log.txt	Object is locked	saltado
C:\WINDOWS\system32\movbtkbm.dll	Infectados: Trojan.Win32.Agent.amyt	saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Object is locked	saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Object is locked	saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Object is locked	saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Object is locked	saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Object is locked	saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Object is locked	saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Object is locked	saltado
D:\DATOS ANTIGUOS\Archivos de programa\Antivirus\quarantine\av\178a719c-d9a2-434f-8ca4-7f174ba95779/OP.class	Infectados: Trojan-Downloader.Java.OpenStream.ac	saltado
D:\DATOS ANTIGUOS\Archivos de programa\Antivirus\quarantine\av\178a719c-d9a2-434f-8ca4-7f174ba95779	ZIP: infectado - 1	saltado
D:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	saltado

Análisis completado.[/i]

Al ver que hay viruses y archivos infectados, paso el elistara antes de cerrar el ordenador y me detecta 24 o 25 archivos infectados (un par de ellos no puede borrarlos directamente) y me dice que ha detectado el Troyano ConHook, y al acabar que el sitema operativo está infectado por Vundo9 y ConHook.  En cuanto llego a casa vuelvo a pasarlo en modo de Prueba y borra un último archivo infectado.  Esto es lo que aprece en InfoSAT:
[i]
Fri Nov 14 19:12:13 2008
EliStartPage v17.39  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\GEBRPQRO] -> C:\WINDOWS\SYSTEM32\geBrpqrO.dll
Entrada Eliminada [HKLM\...\Run] "280400ea"="rundll32.exe "C:\WINDOWS\system32\fdguxxjd.dll",b" (Vundo)
[WinLogon\Notify\GEBRPQRO]
  Por favor, envienos el INFOSAT.TXT y una muestra del fichero
  C:\WinLogon\GEBRPQRO.DLL
 a "virus@satinfo.es". Gracias.
Por favor, envienos una muestra del fichero
C:\Muestras\GEBRPQRO.DLL.Muestra EliStartPage v17.39
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\GEBRPQRO.DLL -->  Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\FDGUXXJD.DLL.Muestra EliStartPage v17.39
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\FDGUXXJD.DLL -->  Renombrado a .VIR
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Reinicie para Completar la Limpieza.

	  Fri Nov 14 19:12:45 2008
EliStartPage v17.39  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   1850
Nº Total de Ficheros:      23302
Nº de Ficheros Analizados: 10580
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Fri Nov 14 19:15:35 2008
EliStartPage v17.39  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   4483
Nº Total de Ficheros:      40867
Nº de Ficheros Analizados: 14547
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Sistema Infectado por el Downloader.ConHook
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\AWTRPFEU.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.09.15 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado DownLoader.ConHook
C:\WINDOWS\SYSTEM32\geBrpqrO.dll -> Eliminado.
Elininada KEY "Winlogon\Notify\GEBRPQRO"
Detectado Vundo9
C:\WINDOWS\SYSTEM32\AWTRPFEU.DLL -> Renombrado a .VIR.
Elininada Class {F4BEF941-300B-47D5-93C6-CB2B5D16B1C8}
Elininado BHO {F4BEF941-300B-47D5-93C6-CB2B5D16B1C8}
Desinstalado EliNotif.dll

	  Fri Nov 14 19:20:35 2008
EliStartPage v17.39  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\AWTRPFEU.DLL.VIR --> Eliminado.
Eliminada Class, "{F4BEF941-300B-47D5-93C6-CB2B5D16B1C8}" -> C:\WINDOWS\system32\awtrPfEu.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Fri Nov 14 19:24:53 2008
EliStartPage v17.39  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Fri Nov 14 19:24:57 2008
EliStartPage v17.39  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   1851
Nº Total de Ficheros:      23307
Nº de Ficheros Analizados: 10576
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Fri Nov 14 19:32:24 2008
EliStartPage v17.39  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   4483
Nº Total de Ficheros:      40867
Nº de Ficheros Analizados: 14547
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Fri Nov 14 20:04:11 2008
EliStartPage v17.42  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\QOMCDBXQ] -> C:\WINDOWS\SYSTEM32\qoMcdbXQ.dll
Entrada Eliminada [HKLM\...\Run] "280400ea"="rundll32.exe "C:\WINDOWS\system32\abusjqcm.dll",b" (Vundo)
Por favor, envienos una muestra del fichero
C:\Muestras\QOMCDBXQ.DLL.Muestra EliStartPage v17.42
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\QOMCDBXQ.DLL -->  Acceso Denegado.
C:\WINDOWS\SYSTEM32\ABUSJQCM.DLL --> Vundo5 Renombrado a .VIR
Eliminada Class, "{6946A48D-F00B-4AA1-A69C-A8D87FE3D760}" -> C:\WINDOWS\system32\xxyxYoPF.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Reinicie para Completar la Limpieza.

	  Fri Nov 14 20:04:34 2008
EliStartPage v17.42  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Muestras\FDGUXXJD.DLL.MUESTRA ELISTARTPAGE V17.39 --> Eliminado, Vundo5
C:\WINDOWS\system32\ABUSJQCM.DLL.VIR --> Acceso Denegado, Vundo5 (Reiniciar para Completar la Limpieza)
C:\WINDOWS\system32\AWTSSMML.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\AWTSTRPQ.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\BYXQIBSQ.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\CBXPHHHG.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\DNPUUIKE.DLL.VIR --> Eliminado, Vundo5
C:\WINDOWS\system32\FCCCAYWV.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\FCCDCARO.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\FDGUXXJD.DLL.VIR --> Eliminado, Vundo5
C:\WINDOWS\system32\JKKJDAWO.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\KHFDSSQH.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\KHFEXQOF.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\NNNMLJDD.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\NNNNKBYQ.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\OPNNOLMK.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\QOMCYARH.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\QOMGFETL.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\RQRIAYQR.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\TUVVWOEW.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\URQPJIXW.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\URQRLFGV.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WINDOWS\system32\WVULJCBQ.DLL --> Acceso Denegado, Vundo9 (Reiniciar para Completar la Limpieza)
C:\WINDOWS\system32\WVUOPJHY.DLL --> Eliminado, DownLoader.ConHook(notify)
C:\WinLogon\XXYXYOPF.DLL --> Eliminado, DownLoader.ConHook(notify)

Nº Total de Directorios:   1936
Nº Total de Ficheros:      24756
Nº de Ficheros Analizados: 10710
Nº de Ficheros Infectados: 25
Nº de Ficheros Limpiados:  23

	  Fri Nov 14 20:07:45 2008
EliStartPage v17.42  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   4483
Nº Total de Ficheros:      40867
Nº de Ficheros Analizados: 14547
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Sistema Infectado por el Downloader.ConHook
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\WVULJCBQ.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.09.15 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado DownLoader.ConHook
C:\WINDOWS\SYSTEM32\qoMcdbXQ.dll -> Eliminado.
Elininada KEY "Winlogon\Notify\QOMCDBXQ"
Detectado Vundo9
Elininada Class {325F54E9-DF86-4FD1-8210-4D8E91DB1A39}
Elininado BHO {325F54E9-DF86-4FD1-8210-4D8E91DB1A39}
Desinstalado EliNotif.dll

	  Fri Nov 14 20:15:58 2008
EliStartPage v17.42  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WVULJCBQ.DLL.VIR --> Eliminado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sat Nov 15 01:46:49 2008
EliStartPage v17.42  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sat Nov 15 01:47:01 2008
EliStartPage v17.42  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\ABUSJQCM.DLL.VIR.VIR --> Eliminado, Vundo5

Nº Total de Directorios:   2008
Nº Total de Ficheros:      24732
Nº de Ficheros Analizados: 10682
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

	  Sat Nov 15 01:53:48 2008
EliStartPage v17.42  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   4483
Nº Total de Ficheros:      40867
Nº de Ficheros Analizados: 14547
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

Un saludo

PD: todavía no he hecho lo de borrar esas dos lineas que menciona, tengo que leer cómo hacer eso de Hijackthis (que no lo había hecho en mi vida).

PD: aprovechando que había que sesactivar el entivirus para pasar el kaspersky online, lo he cambiado (puede que no tenga culpa alguna, pero desde que llegó el ordenador con el puesto ....). Por cierto, a raiz de lo de esta tarde también se me ha vuelto a desactivar lo de las updates en el centro de seguridad de windows (aunque aparezca como activado), como diría Garcí de su película "volver a empezar".

[lucl]

Pues veamos sobre el log del online mira renombra este archivo a .VIR
C:\WINDOWS\system32\movbtkbm.dll y envianoslo para analizar viewtopic.php?f=2&t=45334

en cuanto a los otros estan en la carpeta cuarentena del antivirus asi que de momento no incordian

vacia la papelera para eliminar el que tienes en recycler, es probable que la tengas ya vacia nos lo comentas si es el caso.

En cuanto al infosat , para eliminar el vundo9 sigue estas instrucciones

lo del hijackthis es muy sencillo, lo ejecutas y te abrira un log , no el del bloc de notas si no el otro, buscas las lineas que te dije y seleccionas las casilllas y le das a fix cheked, nos comentas avances saludos

[glasgas]

Buenas de nuevo.

Buenas.

He hecho lo del Hijackthis, pero en el log no me aparecen ya esas dos lineas ya no están. Le pego lo que aparecía:

Logfile of HijackThis v1.99.1
Scan saved at 10:32:29, on 15/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Archivos de programa\Antivirus\bin\OPT_SecS.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Antivirus\bin\kavss.exe
C:\Archivos de programa\Antivirus\bin\OPT_PMON.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Archivos de programa\Antivirus\bin\OPT_GUI.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\DOCUME~1\USER\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [OPTENET_OPTGUI_AV_TDE] C:\Archivos de programa\Antivirus\bin\OPT_GUI.exe
O4 - HKLM\..\Run: [280400ea] rundll32.exe "C:\WINDOWS\system32\rkmdfdre.dll",b
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [avp] C:\RECYCLER\S-1-5-21-0511390191-7479686202-123418449-3822\hdav.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1226619698046
O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} - http://av3m.telefonica.net/public/AntivirusOneClickInstall/setup.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: vyytrf.dll
O23 - Service: Antivirus - Telefónica de España S.A.U - C:\Archivos de programa\Antivirus\bin\OPT_SecS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

Intento buscar ahora ese archivo que menciona. Me dice que lo renombre sobre el log online, perdone la ignorancia ¿Qué log?

Voy a bajar el elistara y elinotiff para pasarlo en modo seguro, a ver si puede hacer algo con el vundo9 de las narices.

Un saludo

PD:veo que mi inoperancia me acaba llevando a la tienda para que me limpien todo y me vuelvan a instalar el windos, a soltar dinero

[lucl]

Tu tranquilo que aun quedan cosas por hacer antes de tener que llevarlo a un tecnico , mira lo tienes que renombrar buscandolo en tu pc
C:\WINDOWS\system32\movbtkbm.dll

vas a C a windows a system32 y alli lo buscas por si esta oculto haz antes esto que te pongo en el link siguiente, viewtopic.php?f=5&t=13245

cuando lo encuentres picas sobre el y con el boton derecho le das a renombrar, y le pones de terminacion .VIR.

Sobre las entradas del hijackhtis no te preocupes, una era un resto que se habra eliminado al pasar nuestras herramientas , y la otra si vuelve a salir nos preocupamos de ella, hasta entonces tranquilidad.

Sobre el vundo9 que esta incordiando debes hacer esto

arrancar desde el CD de instalacion de windows, acceder a la Consola de Recuperacion pulsando R y desde el entorno DOS asi disponible, acceder a la ruta donde está el fichero, generalmente C:\windows\system32 y borrar con un DEL el fichero en cuestion.

es decir que una vez hayas entrado en consola de recuperacion pones
C:\WINDOWS\SYSTEM32\AWTRPFEU.DLL

y presionas DEL, y se borrara, ve haciendo y nos comentas saludos

[msc hotline sat]

Enviamos estos ficheros para analizar:
C:\WINDOWS\system32\rkmdfdre.dll
C:\RECYCLER\S-1-5-21-0511390191-7479686202-123418449-3822\hdav.exe
C:\WINDOWS\system32\vyytrf.dll

saludos
ms, 15-11-2008

NOTA: Y si decides llevarlo a cualquier parte a reparar, antes haz copia de seguridad de tus ficheros y datos, pues lo mas probable es que lo resuelvan formateandolo ... Tenlo en cuenta.

[glasgas]

Buenas.

Gracia por su paciencia, deben alucinar con los nulos concimientos sobre ordenadores de un sevidor .

Ahora tengo que ir a comprar, que sino no como .

Lo de arrancar desde el CD de instalación de windows se hace ........ ¿metiendo el Cd y luego encendiendo el ordenador y arranca desde el CD? o

Una vez renombrado el fichero, qué hago, lo copio para mandarlo ...... Supongo que con los otros 3 ficheros será lo mismo (pero sin renombrar).

Gracias por el aviso, por lo de que lo formatearan (a mí no me ha pasado, pero a algún amigo sí, y sin avisar que es lo peor). Anoche, en un momento de máxima desesperación copié lo que considero de valor, así que eso ya esta hecho, pero gracias de nuevo.

Un saludo

[msc hotline sat]

Lo importante es que los empaquetes en un zip o rar con password virus

Luego lo envias como muestras para analizar

saludos
ms, 15-11-2008

[glasgas]

Buenas



lucl el archivo que me dices que renombre no está en System32, y los otros tres que nombra msc, tan sólo este C:\WINDOWS\system32\vyytrf.dll aparece.



A ver si me puedo bajar y sobre todo si soy capaz de comprimir el archivo (no lo he hecho nunca) para mandárselo.



Un saludo

[lucl]

Recuerda mirarte esto primero por si estuvieran ocultos renombralos todos a .VIR y luego para encriptarlos usa winrar o winzip y listo te dejo link de como hacerlo, saludos

viewtopic.php?f=5&t=24875

[glasgas]

Buenas de nuevo.

Hice lo que me dijiste para ver los archivos y extensiones ocultas, y sólo encontré uno, pero lo volveré a mirar, pero gracias por volver a recordármelo, que las intrucciones para un servidor han de ser como para un bebe de teta, porque esto es todo un mundo para mí -todo lo que me decís que haga es aprender algo nuevo-, sólo os digo que he intentado bajar el winzip y he tenido la mala pata de que el servidor no iba ,debe ser el dicho de que los males nunca vienen sólos. Por lo menos, con vuestra ayuda algo nuevo se aprende siempre, y me lo intento tomar con tranquilidad y filosofía (no queda otra).

Mañana intento lo de arrancar desde el CD de windows. Si me lo podríais decir de la manera más sencilla posible, no lo haría a las bravas, porque no tengo ni idea de cómo hacerlo. Pensaba poner el CD, iniciar el equipo y luego "intentar2 seguir lo que me habéis sugerido (pero si os habéis saltado pasos intermedios, por obvios que os parezcan, agradecería que los pusiérais, aunque sean para mi verguennza para mi ignorancia -lástima no haber nacido unos años después, para disfrutar de unos años más de juventud, y para no estar tan pez en estos temas).

¿Debo renombrar a .vir también lo que msc dijo que les mandara?

Un agradecido saludo a ambos.

PD: a ver si tras bajar lo del zip se cómo hacerlo
PD": vuestra paciencia con un servidor es infinita, la figura del Santo Job a vuestro lado queda minimizada.

[msc hotline sat]

Sí, metiendo el CD y dejando que arranque (si tienes el SETUP configurado para ello) cuando ofrece acceder a la CONSOLA DE RECUPERACION pulsando R, se llega a una especie de MSDOS desde el cual acceder a ficheros que cuelgan de C:\windows , pero primero yo probaría simplemente desde una ventana al DOS, y ver si existen o no los ficheros que no encuentras:

DIR  \rkmdfdre.dll  /A  /S <ENTER>

E igual con los demas...

Y sobre empaquetar los ficheros con password, mira este Tema de flacoroo, viewtopic.php?f=5&t=24875

saludos
ms, 16-11-2008

[glasgas]

Buenas.

A ver si me aclaro, que me lío con poco, porque negarlo.
1.- Lo de arrancar con el cd de windows era para encontrar y borrar el archivo que me decía lucl ¿no?:
C:\windos\system32\AWTRPFEU.DLL
o tengo que borrar también los cuatro que me dijisteis que renombrara y mandara copia de los mismos?

2.- ¿Cómo se abre una ventana DOS? Eso es sólo para buscar esos tres archivos que no encuentro ¿no?

3.- Por si sirve de algo, al pasar el elistara al abrir el ordenador me sigue dando lo de "detectado conhook, reiniciar para limpiar". Al analizar el pc encuentra un archivo infectado con Vundo9 que no puede borrar y al acabar dice otra vez lo de sistema infectador downloader.conhook y también por vundo9 ( C:\windows\system32\NNNOOGAP.DLL ).

Esto es lo que aparece en INFOSAT, por si hay que borrar algo más (o intentarlo por lo menos, siguiendo vuestras indicaciones):

Sun Nov 16 17:32:25 2008
EliStartPage v17.42 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\YAYYAQPQ] -> C:\WINDOWS\SYSTEM32\yayyAqpq.dll
Entrada Eliminada [HKLM\...\Run] "280400ea"="rundll32.exe "C:\WINDOWS\system32\govnjeav.dll",b" (Vundo)
Por favor, envienos una muestra del fichero
C:\Muestras\YAYYAQPQ.DLL.Muestra EliStartPage v17.42
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\YAYYAQPQ.DLL -->  Acceso Denegado.
C:\WINDOWS\SYSTEM32\GOVNJEAV.DLL --> Eliminado Vundo5
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Reinicie para Completar la Limpieza.

	  Sun Nov 16 17:32:48 2008
EliStartPage v17.42  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\NNNOOGAP.DLL --> Acceso Denegado, Vundo9 (Reiniciar para Completar la Limpieza)

Nº Total de Directorios:   2019
Nº Total de Ficheros:      25039
Nº de Ficheros Analizados: 10712
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0
Sistema Infectado por el Downloader.ConHook
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\NNNOOGAP.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.09.15 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado DownLoader.ConHook
C:\WINDOWS\SYSTEM32\yayyAqpq.dll -> Eliminado.
Elininada KEY "Winlogon\Notify\YAYYAQPQ"
Detectado Vundo9
Elininada Class {4334474F-2D3D-482E-936B-AB4FF43D55D2}
Elininado BHO {4334474F-2D3D-482E-936B-AB4FF43D55D2}
Desinstalado EliNotif.dll

	  Sun Nov 16 17:42:42 2008
EliStartPage v17.42  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\NNNOOGAP.DLL.VIR --> Eliminado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE[/i]

A ver si me acabo de aclarar e intento hacer lo de arrancar desde el cd y borrar lo que haya que borrar (dejo para luego lo del zip y mandarlo).

un saludo

[msc hotline sat]

Pues gracias al ELISTARA y al ELINOTIF, parece que se han eliminado las variantes de CONHOOK y VUNDO9 que tenías, me parece que ya no te saldrá ningun mensahe cuando vyelvas a probar el ELISTARA, hazlo y nos lo comentas, gracias

Solo debes enviar los ficheros que te pediamos, pero los otros que te indicabamos arrancar con el CD de instalaicon, ya dicen que se han podido eliminar,
C:\WINDOWS\SYSTEM32\yayyAqpq.dll -> Eliminado.
C:\WINDOWS\SYSTEM32\NNNOOGAP.DLL.VIR --> Eliminado.

Y sobre lo que preguntabas de como se abre una ventana al DOS, una de las maneras es con Inicio-> Ejecutar -> CMD.EXE

saludos
ms, 16-11-2008

[glasgas]

Buenas.

Eso es lo que me chocaba, que lo que tenía que eliminar ya no apareciera en el mensaje. El problema persiste, lo que ocurre es que cada vez que abro y entro en internet, en el ordenador me salen alertas de troyanos con el antivirus (que elimino), luego se disparan con cierta regularidad páginas webs (que ni siquiera he abierto otra ventana con el navegador), me sale un mensaje de que el ordenador está en peligro, en una ventana supuestamente de windows y a renglón seguido se abre una web de seguridad con apariencia de antivirus (con el escudo de windows defender). Vuelvo a pasar el elistara y vuelve la misma secuencia:

1.- al ejecutar el programa me dice que se ha detectado el conhook y hay que reiniciar, durante la exploración aparece "un" archivo que no se puede borrar, y es vundo9 pero varía de una vez a otra las letras del .DLL.
2.- l acabar de examinar y salir dice que está infectado el sistema operativo con conhook y luego en una posterior ventana con el vundo9 (y es cuando sale lo de C:\windos\system\y las letras de turno.dll).

No obstante vuelvo a psarlo para comprobarlo y paso los resultados.

Un saludo

[glasgas]

Buenas.

Se me olvidaba, y persiste el problema del wndows update de nuevo.

Un saludo y disculpen las molestias que esté causando.

[msc hotline sat]

Pues señal que donde accede o lo que ejecuta, le vuelve a infectar, porque ya estaba eliminado del todo...

Y ello puede coincidir con lo del windowsupdate. Es legal (original) el sistema operativo que usa y su instalación con microsoft ???

saludos
ms, 16-11-2008

NOTA: Aparte de contestarnos, vaya haciendo lo indicado para el caso anterior. ms.

[glasgas]

Buenas.

Pues el windows xp lo compré hace unos años, vamos, que 100% de que es legal.

Al grano, otra vez más de lo mismo (me he intentado fijar lo mejor posible esta vez):
1.- al ejecutar el programa me dice que se ha detectado el conhook y hay que reiniciar, durante la exploración aparece "un" archivo que no se puede borrar, y es vundo9 pero varía de una vez a otra las letras del .DLL.
2.- l acabar de examinar y salir dice que está infectado el sistema operativo con conhook y luego en una posterior ventana con el vundo9 (y es cuando sale lo de C:\windos\system\y las letras de turno.dll).
3.- reinicio y se me abre una ventana para ejecutar el elistara, lo hago sin analizar y cierro, y ya no sale mensaje alguno de infección.
4.- entro en inicio, buscar para buscar el infosat y en ese momento el antivirus me da dos alertas de troyanos que mando a cuarentena y elimino.
5.- abro su web y se abre una página que yo no he abierto, que acabo cerrando. Luego cuando me identifico me sale un mensaje de que su equipo podría estar en peligro (lo que dije unos mensajes antes), y al cerrarla se abre otra web que dice que es "Antivirus 2009", que si el equipo está en peligro, con el escudo del centro de seguridad de windows, que cierro también.
6.- paso el antivirus y detecta un archivo infectado con este nombre de archivo "hdav.exe".

y hast aquí, que no es poco. Es tan raro todo, que cunde la desesperación la verdad.

Ahora le pego lo de infosat:


Sun Nov 16 20:56:55 2008
EliStartPage v17.42 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\SSQQGHAB] -> C:\WINDOWS\SYSTEM32\ssqQgHab.dll
Entrada Eliminada [HKLM\...\Run] "280400ea"="rundll32.exe "C:\WINDOWS\system32\nlvdjeck.dll",b" (Vundo)
Por favor, envienos una muestra del fichero
C:\Muestras\SSQQGHAB.DLL.Muestra EliStartPage v17.42
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\SSQQGHAB.DLL -->  Acceso Denegado.
C:\WINDOWS\SYSTEM32\NLVDJECK.DLL --> Eliminado Vundo5
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Reinicie para Completar la Limpieza.

	  Sun Nov 16 20:57:16 2008
EliStartPage v17.42  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\LJJATMEB.DLL --> Acceso Denegado, Vundo9 (Reiniciar para Completar la Limpieza)

Nº Total de Directorios:   2021
Nº Total de Ficheros:      25068
Nº de Ficheros Analizados: 10721
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0
Sistema Infectado por el Downloader.ConHook
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\LJJATMEB.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.09.15 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado DownLoader.ConHook
C:\WINDOWS\SYSTEM32\ssqQgHab.dll -> Eliminado.
Elininada KEY "Winlogon\Notify\SSQQGHAB"
Detectado Vundo9
Elininada Class {BDB48899-386A-4E0B-8108-42D42D541A35}
Elininado BHO {BDB48899-386A-4E0B-8108-42D42D541A35}
Desinstalado EliNotif.dll

	  Sun Nov 16 21:07:49 2008
EliStartPage v17.42  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\LJJATMEB.DLL.VIR --> Eliminado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Repito, el windows xp es 100% original, lo compré yo mismo, lo de su instalación con microsoft no le entiendo, lo hicieron en la tienda.

Un desesperado saludo

[glasgas]

Buenas.

¿No tendrá que ver con el tema ese maldito "antivirus2009" que siempre cierro y es lo que se me ofrece para quitar virus, spyware, malware, etc ... con un mensaje previo que aparece como si fuera del internet explorer para avisar de que lo puedes instalar gratuitamente y pone que es recomendado?

Ya no se qué pensar.
Un saludo

[lucl]

Si, es bastante probable pero eso de que te detecte el vundo cada vez con una combinacion de letras...peganos log de sprocess otra vez a ver que claves salen, saludos





http://www.zonavirus.com/descargas/sproces.asp

[glasgas]

Buenas.

Ahora paso lo del sprocess lucl, pero si sirve de algo o puede arrojar algo de luz ...La verdad es que me he dado cuenta que por recabar vuestra inestimable ayuda he hcho todo estando conectado a internet, así que me he desconectado de internet. He pasado el elistara y de entrada parecía lo mismo, el cokhook, reinice, etc... Con el antivirus otra vez ese archivo que borro. Luego arranco en modo seguro una vez, paso el elistara y sólo detecta esta vez un archivo infectad (vundo5, no vundo9) pero esta vez sí puede borrarlo. Reinicio, paso el antivirus y vuelve a detectar "el mismo" archivo que había eliminado. Para asegurarme vuelvo a repetir todo e proceso con el mismo resultado, "nada" con el elistara, reinicio, paso el antivirus y el mismo archivo (que elimio). Sin apagar o reiniciar paso otra vez el antivirus y detecta "otra vez el mismo" archivo, el que hacía unosminutos acababa de borrar, el arcivo en cuestión es:
Archivo: HADV.EXE
C:\recycler\-1-5-21-0511390191-7479686202-123418449-3822
A ver si sirve de algo.

PD: (al conectame de nuevo a internet, más de lo mismo y en el mismo orden)

Un saludo

[glasgas]

Buenas.

Aquí está lo que pidieron:

Sun Nov 16 23:47:19 2008
SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Internet Explorer: (v7.0.5730.13) 0

Procesos Activos:

Código: Seleccionar todo

C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\LEXBCES.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\SYSTEM32\LEXPPS.EXE
C:\ARCHIVOS DE PROGRAMA\ANTIVIRUS\BIN\OPT_SECS.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\ARCHIVOS DE PROGRAMA\ANTIVIRUS\BIN\KAVSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\WSCNTFY.EXE
C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM32\HKCMD.EXE
C:\WINDOWS\SYSTEM32\IGFXPERS.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_07\BIN\JUSCHED.EXE
C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE
C:\WINDOWS\SYSTEM32\LXSUPMON.EXE
C:\ARCHIVOS DE PROGRAMA\ANTIVIRUS\BIN\OPT_GUI.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXINGSERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXSTORESVR.EXE
C:\ARCHIVOS DE PROGRAMA\ANTIVIRUS\BIN\OPT_PMON.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\SL7H9DGG\SPROCES[1].EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (no name) - {0AF6F4C1-A419-4EED-BA4E-CBF12A16ADFE} - C:\WINDOWS\system32\iifgGwWN.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {a7dccbe6-e216-4d82-ac58-1a5f72f2f58c} - C:\WINDOWS\system32\vjsqrv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: (no name) - {D8E4A0C4-171A-4C68-8B8A-FF7FB6ADDF67} - C:\WINDOWS\system32\fccyaBtr.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [avp] C:\RECYCLER\S-1-5-21-0511390191-7479686202-123418449-3822\hdav.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [OPTENET_OPTGUI_AV_TDE] C:\Archivos de programa\Antivirus\bin\OPT_GUI.exe
O4 - HKLM\..\Run: [280400ea] rundll32.exe "C:\WINDOWS\system32\tnsiywmg.dll",b
O4 - Startup: desktop.ini
O4 - Global Startup: desktop.ini
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1226619698046
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} - http://av3m.telefonica.net/public/AntivirusOneClickInstall/setup.exe
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: vjsqrv.dll
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL
O20 - Winlogon Notify: IIFGGWWN - IIFGGWWN.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:
----------------------
ShellExecuteHooks: {0AF6F4C1-A419-4EED-BA4E-CBF12A16ADFE} -  - C:\WINDOWS\system32\iifgGwWN.dll

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Antivirus - Telefónica de España S.A.U - C:\Archivos de programa\Antivirus\bin\OPT_SecS.exe
**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):
------------------------------------
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys
O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys
O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation                            - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys
**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

 17 Servicios.
  4 de Carga Automatica.
 10 de Carga Manual.
  3 Deshabilitados.

Un saludo

[msc hotline sat]

Pues arrancando en modo seguro, elimine estas claves:
O2 - BHO: (no name) - {0AF6F4C1-A419-4EED-BA4E-CBF12A16ADFE} - C:\WINDOWS\system32\iifgGwWN.dll
O2 - BHO: (no name) - {a7dccbe6-e216-4d82-ac58-1a5f72f2f58c} - C:\WINDOWS\system32\vjsqrv.dll
O2 - BHO: (no name) - {D8E4A0C4-171A-4C68-8B8A-FF7FB6ADDF67} - C:\WINDOWS\system32\fccyaBtr.dll
O4 - HKCU\..\Run: [avp] C:\RECYCLER\S-1-5-21-0511390191-7479686202-123418449-3822\hdav.exe
O4 - HKLM\..\Run: [280400ea] rundll32.exe "C:\WINDOWS\system32\tnsiywmg.dll",b
O20 - AppInit_DLLs: vjsqrv.dll
O20 - AppInit_DLLs: vjsqrv.dll

ShellExecuteHooks: {0AF6F4C1-A419-4EED-BA4E-CBF12A16ADFE} - - C:\WINDOWS\system32\iifgGwWN.dll
y envienos todos los ficheros que lanzan, pero sobre todo este del RECYCLER !!! (Puede ser un downloader que descarga los demás)

Recuerde que para eliminar dichas claves, en modo seguro, se lanza el HJT, acepta la segunda opción, marca la casilla de la izquierda de cada clave undicada y pulsa en FIX CHECKED

saludos
ms, 17-11-2008

[glasgas]

Buenas.

A ver si tengo tiempo antes de ir a trabajar de hacer lo que me pide.

He econtrado en la carpeta recycler un icono (UNO DE LOS TRES QUE TENGO) de papelera de reciclaje, que coincide con los números de ese archivo que nunca puedo eliminar.

¿Tengo que renombrar lo?
¿cómo debo hacerlo de ser así?
¿debo eliminarlo?

No se si tendrá que ver, pero lel ordenador no me deja abrir la carpeta System Volume Information.

Voy con lo del HJT.

Un saludo
PD: si en casa, que se han cansado de esperar, alguien no ha llevado el ordenador a la tienda cuando vuelva.

[msc hotline sat]

El fichero en cuestion nos lo ha de enviar para analizar, ya implementaremos su control y eliminacion en nuestras utilidades.

Pero si quiere renombrar su extension a .VIR, puede hacerlo, para ello botón derecho sobre el icono del fichero, CAMBIAR NOMBRE y ponerle hdav.vir en lugar de hdav.exe

Luego lo empaqueta en un ZIP o RAR con password virus y nos lo envia como muestra para analizar.

saludos
ms, 17-11-2008

[glasgas]

Buenas.

Al pasar el HJT sólo he encontrado de la lista que me dio los "04 -...." y el "020- ..", el de shellexecuteHooks y los tes de 02 no estaban.

Sobre el archivo de recycler, cuando entro en la carpeta (tras desactivar esas dos casillas de ocultar ...), están tres iconos de la papelera de reciclaje, y uno de ellos coincide con la numeración esa que vuelve a aparecer constantemente, pero cuando voy a propiedades para ver su nombre, no pone nada de HDA.exe (acaba con los números). Vamos, que no se cómo encontrarlo ya. Por cierto, el antivirus me dice que esa es la ruta para la entrada de troyanos.

Un saludo