DISCO DURO EXTERNO INFECTADO?

ATODAPASTILLA · Mensaje por **ATODAPASTILLA** » 29 Nov 2008, 11:03

hola que tal?, me dirijo a vosotros ~~[b]~~[i]a ver[/i][/b] si es posible que me ayuden, resulta que un amigo me dejo su disco duro para ~~[b]~~[i]ver[/i][/b] si le podia recuperar los archivos que le habian desaparecido, este en vez de sus archivos tenia 2 carpetas con nombres raros y con caracteres extraños, y 2 archivos de windows sin identificar tambien con nombres raros y caracteres extraños. bueno la cosa es que al no poderse recuperar los archivos con handy recovery pues mi amigo me autorizo para formatearlo, bien aqui sin problemas. el problema vino cuando conecte mi disco duro para ir restaurandole peliculas y musica que el habia perdido, ~~[b]~~[i]entonces[/i][/b] al conectar mi disco duro observe que ya este en MI PC no aparecia con el icono de unidad, sino que habian cambiado a una carpeta, y ademas cuando fui a abrirlo me aparecio la ventana de ~~[b]~~abrir con[/b], me asuste, ya que mi disco duro posee musica irrecuperable, y ~~[b]~~[i]entonces[/i][/b] desconecte normal y reinicie mi maquina. esta vez al volver a conectar mi disco duro externo intente abrirlo e iba normal, pero seguia con el icono cambiado, vale todo estupendo salgo lo raro del icono. pero cual ha sido mi sorpresa hoy al conectarlo, que esta vez cuando he querido abrir mi disco duro, que esta vez cuando intento abrirlo doble click se me abre una venatan de busqueda, y para abrir mi disco duro normalmente me veo obligado a usar boton derecho de raton-->abrir, espero puedan ayudarme y decirme si esto es debido a un virus o que puede ser, y como podria arreglarlo. todo lo que poseo en mi disco duro es de gran valor. gracias

P.D: tambien decir que cuando conecte el HD de mi amigo por primera vez, no aparecian sus archivos, pero la capacidad del HD indicaba un espacio en el HD como si las coas aun estuvieran ahi.

P.D2: cuando he conectado el HD de mi amigo ya formateado este tambien presentaba un cambio de icono.

Mensaje por **msc hotline sat** » 29 Nov 2008, 11:16

Como que hablas de unidades extraibles, podríoa tratarse de un virus de pendrive

Prueba el ELIPEN y vacuna tanto ordenadores, como unidades extraibles, incluidos pendrives.

.

vacune todas sus unidades de disco y pendrive con el ELIPEN:

~~[b]~~ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Luego lanza este AV ONLINE para ver si se detecta alguno:

[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred]~~[b]~~ SOLO TESTEO AV ONLINE[/b][/color][/url]

NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.

(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)

saludos

ms, 29-11-2008

ATODAPASTILLA · Mensaje por **ATODAPASTILLA** » 29 Nov 2008, 11:23

ok muchas gracias, voy a proceder a realizar tu recomendacion, ahora te comento. gracias

ATODAPASTILLA · Mensaje por **ATODAPASTILLA** » 29 Nov 2008, 11:55

este es el satinfo, he observado que mi disco duro externo (L:) esta protegido (es que olvide comentar que anoche borre el autorun.nfo manuealmente) sim embargo el de mi amigo (j:) aun estaba.

Sat Nov 29 11:40:55 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad C:\ Protegida

Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger

Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger

Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger

Error Creando TEST2.SAT

Unidad G:\ No se Pudo Proteger

Error Creando TEST2.SAT

Unidad H:\ No se Pudo Proteger

Error Creando TEST2.SAT

Unidad I:\ No se Pudo Proteger

Detectado J:\Autorun.inf

OPEN=RECYCLER\USBV.EXE

J:\Autorun.inf -> Renombrado a .OLD

Unidad J:\ Protegida

Unidad L:\ Protegida

Unidad C:\ YA esta Protegida

ahora voy a hacer el testeo AVonline y posteo como me indicaste. gracias

Mensaje por **msc hotline sat** » 29 Nov 2008, 12:23

Pues mira o que tienes:

Detectado J:\Autorun.inf

OPEN=RECYCLER\USBV.EXE

Envianos los dos ficheros para analizar y controlar, el AUTORUN.INF y el USBV.EXE

Este ultimo puedes moverlo a la carpeta de muestras C:\muestras con el ELIMOVER,EXE , y marca la casilla de renombrar el fichero original a .VIR

ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 29-11-2008

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Mensaje por **msc hotline sat** » 29 Nov 2008, 12:27

Puede que se trate del mismo que ya controlamos con el ELISTARA, o de otra variante, de las que aparecen a diario, pero por si fuera el caso:

ELISTARA

---v17.24-(22 de Octubre del 2008) (Muestras de Vundo9, Vundo5, DownLoader.ConHook, (1)PWS-OnLineGames.AMVO, (16)PWS-OnLineGames.CKVO, (7)PWS-OnLineGames.KAVO, (2)PWS-OnLineGames.TAVO, NaviPromo, StartPage-CUK "MSNGSERV.EXE", (2)AutoRun(Recycle) "~~[b]~~[i][u]USBV.EXE[/u][/i][/b] y VMMGE.EXE")

descarga y prueba el ELISTARA actual:

[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 29-11-2008

ATODAPASTILLA · Mensaje por **ATODAPASTILLA** » 29 Nov 2008, 12:32

este USBV.EXE no se donde encontrarlo :S

Mensaje por **lucl** » 29 Nov 2008, 14:02

No te preocupes que elistara lo detectara tu pasalo y nos pegas el infosat, saludos

Mensaje por **msc hotline sat** » 29 Nov 2008, 14:03

Esta en J:

Detectado~~[b]~~[i][u] J:[/u][/i][/b]\Autorun.inf

OPEN=RECYCLER\USBV.EXE

saludos

ms, 29-11-2008

ATODAPASTILLA · Mensaje por **ATODAPASTILLA** » 29 Nov 2008, 16:02

este es el informe de AV online:

Estadísticas

Número de objeros analizados 192706

Virus encontrados 4

Objetos infectados 16 / 0

Objetos sospechosos 0

Duración del análisis 03:39:05

Bombre del objeto infectado Nombre del virus Última acción

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\OSession.evt Object is locked saltado

C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\DEFAULT Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SOFTWARE Object is locked saltado

C:\WINDOWS\system32\config\SYSTEM Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\drivers\atapi.sys Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Prism\8c4a9db5 Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Pc\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\Pc\Configuración local\Temp\~DFF216.tmp Object is locked saltado

C:\Documents and Settings\Pc\Configuración local\Temp\~DFF6D6.tmp Object is locked saltado

C:\Documents and Settings\Pc\Configuración local\Temp\~DF4CDE.tmp Object is locked saltado

C:\Documents and Settings\Pc\Configuración local\Temp\Perflib_Perfdata_c6c.dat Object is locked saltado

C:\Documents and Settings\Pc\Configuración local\Temp\etilqs_th54OQ3IFbLJZoGu1xcL Object is locked saltado

C:\Documents and Settings\Pc\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Pc\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Pc\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Pc\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Pc\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Pc\Configuración local\Datos de programa\Microsoft\Media Player\CurrentDatabase_360.wmdb Object is locked saltado

C:\Documents and Settings\Pc\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\n9tmb2cs.default\Cache\_CACHE_MAP_ Object is locked saltado

C:\Documents and Settings\Pc\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\n9tmb2cs.default\Cache\_CACHE_001_ Object is locked saltado

C:\Documents and Settings\Pc\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\n9tmb2cs.default\Cache\_CACHE_002_ Object is locked saltado

C:\Documents and Settings\Pc\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\n9tmb2cs.default\Cache\_CACHE_003_ Object is locked saltado

C:\Documents and Settings\Pc\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\n9tmb2cs.default\urlclassifier3.sqlite Object is locked saltado

C:\Documents and Settings\Pc\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Pc\Datos de programa\Mozilla\Firefox\Profiles\n9tmb2cs.default\parent.lock Object is locked saltado

C:\Documents and Settings\Pc\Datos de programa\Mozilla\Firefox\Profiles\n9tmb2cs.default\cert8.db Object is locked saltado

C:\Documents and Settings\Pc\Datos de programa\Mozilla\Firefox\Profiles\n9tmb2cs.default\key3.db Object is locked saltado

C:\Documents and Settings\Pc\Datos de programa\Mozilla\Firefox\Profiles\n9tmb2cs.default\permissions.sqlite Object is locked saltado

C:\Documents and Settings\Pc\Datos de programa\Mozilla\Firefox\Profiles\n9tmb2cs.default\places.sqlite-journal Object is locked saltado

C:\Documents and Settings\Pc\Datos de programa\Mozilla\Firefox\Profiles\n9tmb2cs.default\places.sqlite Object is locked saltado

C:\Documents and Settings\Pc\Datos de programa\Mozilla\Firefox\Profiles\n9tmb2cs.default\formhistory.sqlite Object is locked saltado

C:\Documents and Settings\Pc\Datos de programa\Mozilla\Firefox\Profiles\n9tmb2cs.default\cookies.sqlite Object is locked saltado

C:\Documents and Settings\Pc\Datos de programa\Mozilla\Firefox\Profiles\n9tmb2cs.default\content-prefs.sqlite Object is locked saltado

C:\Documents and Settings\Pc\Datos de programa\Mozilla\Firefox\Profiles\n9tmb2cs.default\downloads.sqlite Object is locked saltado

C:\Documents and Settings\Pc\Datos de programa\Mozilla\Firefox\Profiles\n9tmb2cs.default\search.sqlite Object is locked saltado

C:\Documents and Settings\Pc\ntuser.dat Object is locked saltado

C:\Archivos de programa\ESET\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked saltado

C:\Archivos de programa\ESET\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\ESET\infected\C3ASMJDA.NQF Infectados: Backdoor.Win32.ControlTotal.aj saltado

C:\Archivos de programa\Veoh Networks\Veoh\upload.log Object is locked saltado

C:\Archivos de programa\Veoh Networks\Veoh\client.log Object is locked saltado

C:\System Volume Information\_restore{E79B2EE9-EAE2-4488-AFC9-EC5824F4BB0B}\RP153\change.log Object is locked saltado

C:\RECYCLER\S-1-5-21-9613008173-3735311938-043036694-4293\hdav.exe Infectados: Trojan.Win32.Agent.aolj saltado

J:\RECYCLER\usbv.exe Infectados: Trojan.Win32.Agent.aolj saltado

L:\MIS PROGRAMAS\DJT.part1.rar/AIO-DJToolz.exe/AutoPlay/Docs/DJ.Jukebox.6.0.CRK-FFF.zip/crack-inf.exe/data0004 Infectados: Trojan-Clicker.Win32.VB.jy saltado

L:\MIS PROGRAMAS\DJT.part1.rar/AIO-DJToolz.exe/AutoPlay/Docs/DJ.Jukebox.6.0.CRK-FFF.zip/crack-inf.exe Infectados: Trojan-Clicker.Win32.VB.jy saltado

L:\MIS PROGRAMAS\DJT.part1.rar/AIO-DJToolz.exe/AutoPlay/Docs/DJ.Jukebox.6.0.CRK-FFF.zip Infectados: Trojan-Clicker.Win32.VB.jy saltado

L:\MIS PROGRAMAS\DJT.part1.rar/AIO-DJToolz.exe Infectados: Trojan-Clicker.Win32.VB.jy saltado

L:\MIS PROGRAMAS\DJT.part1.rar RAR: infectado - 4 saltado

L:\MIS PROGRAMAS\TEU NOD32 [Spanish].rar/TEU NOD32 [Spanish].iso/AutoPlay/Docs/ESET NOD32 AV SE 3.0.645 x86/Medicina/setup.exe/script.au3 Infectados: Trojan.Win32.KillAV.rx saltado

L:\MIS PROGRAMAS\TEU NOD32 [Spanish].rar/TEU NOD32 [Spanish].iso/AutoPlay/Docs/ESET NOD32 AV SE 3.0.645 x86/Medicina/setup.exe Infectados: Trojan.Win32.KillAV.rx saltado

L:\MIS PROGRAMAS\TEU NOD32 [Spanish].rar/TEU NOD32 [Spanish].iso Infectados: Trojan.Win32.KillAV.rx saltado

L:\MIS PROGRAMAS\TEU NOD32 [Spanish].rar RAR: infectado - 3 saltado

L:\MIS PROGRAMAS\TEU NOD32 [Spanish]\TEU NOD32 [Spanish].iso/AutoPlay/Docs/ESET NOD32 AV SE 3.0.645 x86/Medicina/setup.exe/script.au3 Infectados: Trojan.Win32.KillAV.rx saltado

L:\MIS PROGRAMAS\TEU NOD32 [Spanish]\TEU NOD32 [Spanish].iso/AutoPlay/Docs/ESET NOD32 AV SE 3.0.645 x86/Medicina/setup.exe Infectados: Trojan.Win32.KillAV.rx saltado

L:\MIS PROGRAMAS\TEU NOD32 [Spanish]\TEU NOD32 [Spanish].iso ISOimage: infectado - 2 saltado

L:\RECYCLER\usbv.exe Infectados: Trojan.Win32.Agent.aolj saltado

ahora voy a seguir con las demas indicaciones que hasta ahora no ha acabado el analisis. gracias ;)

ATODAPASTILLA · Mensaje por **ATODAPASTILLA** » 29 Nov 2008, 17:30

y he aki el resto de analisis:

Sat Nov 29 16:15:51 2008

EliMover v1.0 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "J:\Autorun.inf.old" -> Copiado a "C:\Muestras"

Fichero: "J:\Autorun.inf.old" -> Renombrado a .VIR

Fichero: "L:\Autorun.inf\Test2.Sat" -> Copiado a "C:\Muestras"

Fichero: "L:\Autorun.inf\Test2.Sat" -> Renombrado a .VIR

Sat Nov 29 17:03:19 2008

EliStartPage v17.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\NETRATINGSNETSIGHT\NETSIGHT\NIELSENONLINE.EXE --> Spyware.Netrat Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "NIELSENONLINE"="C:\Archivos de programa\NetRatingsNetSight\NetSight\NielsenOnline.exe"

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.winsoftware.com ## added by CiD

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sat Nov 29 17:08:29 2008

EliStartPage v17.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.15-3.INF --> Eliminado, MyWebSearch(inf)

C:\Archivos de programa\NetRatingsNetSight\NetSight\NIELSENONLINE.EXE.VIR --> Eliminado, Spyware.Netrat

C:\Archivos de programa\GameSpy Arcade\Services\_common\PORTRAITLOADER.DLL --> Eliminado, GameSpyArcade

C:\System Volume Information\_restore{E79B2EE9-EAE2-4488-AFC9-EC5824F4BB0B}\RP138\A0031571.DLL --> Eliminado, SmartShopper(BHO)

C:\System Volume Information\_restore{E79B2EE9-EAE2-4488-AFC9-EC5824F4BB0B}\RP153\A0033537.EXE --> Eliminado, Spyware.Netrat

C:\System Volume Information\_restore{E79B2EE9-EAE2-4488-AFC9-EC5824F4BB0B}\RP153\A0033538.DLL --> Eliminado, GameSpyArcade

C:\RECYCLER\S-1-5-21-9613008173-3735311938-043036694-4293\HDAV.EXE --> Acceso Denegado, Trojan.Inject.JUQ (Reiniciar para Completar la Limpieza)

Nº Total de Directorios: 12628

Nº Total de Ficheros: 137908

Nº de Ficheros Analizados: 26077

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 6

Sat Nov 29 17:22:31 2008

EliStartPage v17.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 5

Nº Total de Ficheros: 342

Nº de Ficheros Analizados: 91

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Sat Nov 29 17:22:45 2008

EliStartPage v17.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "J:\"

J:\System Volume Information\_restore{E79B2EE9-EAE2-4488-AFC9-EC5824F4BB0B}\RP152\A0033385.INF --> Eliminado, AutoRun(Recycle)(inf)

J:\RECYCLER\USBV.EXE --> Eliminado, Trojan.Inject.JUQ

Nº Total de Directorios: 2188

Nº Total de Ficheros: 13497

Nº de Ficheros Analizados: 448

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Sat Nov 29 17:23:25 2008

EliStartPage v17.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "L:\"

L:\System Volume Information\_restore{E79B2EE9-EAE2-4488-AFC9-EC5824F4BB0B}\RP152\A0033368.INF --> Eliminado, AutoRun(Recycle)(inf)

L:\System Volume Information\_restore{E79B2EE9-EAE2-4488-AFC9-EC5824F4BB0B}\RP152\A0033374.INF --> Eliminado, AutoRun(Recycle)(inf)

L:\System Volume Information\_restore{E79B2EE9-EAE2-4488-AFC9-EC5824F4BB0B}\RP152\A0033376.INF --> Eliminado, AutoRun(Recycle)(inf)

L:\System Volume Information\_restore{E79B2EE9-EAE2-4488-AFC9-EC5824F4BB0B}\RP152\A0033383.INF --> Eliminado, AutoRun(Recycle)(inf)

L:\System Volume Information\_restore{E79B2EE9-EAE2-4488-AFC9-EC5824F4BB0B}\RP153\A0033438.INF --> Eliminado, AutoRun(Recycle)(inf)

L:\Recycled\DL20.INF --> Eliminado, AutoRun(Recycle)(inf)

L:\MIS PROGRAMAS\YOUTUBECATCHER_1_0_RC1_R93_SPANISH_SETUP.EXE --> Eliminado, Dropper(ConHook)

L:\MIS PROGRAMAS\PANDO.EXE --> Eliminado, Frauder.KG

L:\RECYCLER\USBV.EXE --> Eliminado, Trojan.Inject.JUQ

Nº Total de Directorios: 4241

Nº Total de Ficheros: 25935

Nº de Ficheros Analizados: 1129

Nº de Ficheros Infectados: 9

Nº de Ficheros Limpiados: 9

Mensaje por **msc hotline sat** » 29 Nov 2008, 18:25

Pues lanza de nuevo el AV ONLINE a ver si tras lo eliminado por el ELISTARA, le queda algun bicho vivo... y nos posteas nuevo informe correspondiente, gracias

Aparte, al haber tenido el CuD; puede quedar alguna variante no controlada, prueba el SPROCES Y POSTEANOS EL CONTENIDO DE c:\SPROCLOG.TXT:

[quote="msc escribió"]
~~[b]~~SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.

saludos

ms, 29-11-2008

NOTA: y so quedara algi en C:\muestras, envianoslo para analizar:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253 ms.

ATODAPASTILLA · Mensaje por **ATODAPASTILLA** » 29 Nov 2008, 18:46

Sat Nov 29 18:43:45 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\COMMON\GOOGLE UPDATER\GOOGLEUPDATERSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\NCS\PROSET\PRONOMGR.EXE

C:\WINDOWS\SYSTEM32\CARPSERV.EXE

C:\WINDOWS\SYSTEM32\LVCOMSX.EXE

C:\ARCHIVOS DE PROGRAMA\LOGITECH\VIDEO\LOGITRAY.EXE

C:\ARCHIVOS DE PROGRAMA\WLAN11G\WLAN11GSTA.EXE

C:\WINDOWS\SYSTEM32\PRISMSVR.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_07\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE

C:\ARCHIVOS DE PROGRAMA\UNLOCKER\UNLOCKERASSISTANT.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\MOM.EXE

C:\ARCHIVOS DE PROGRAMA\OMNI\OMNI KEYBOARD DRIVER\6.0\KBDAP32A.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\PHONOSTAR\PS_TIMER.EXE

C:\ARCHIVOS DE PROGRAMA\OMNI\OMNIMOUSE DRIVER\10.0\GTGMOUSE.EXE

C:\ARCHIVOS DE PROGRAMA\VEOH NETWORKS\VEOH\VEOHCLIENT.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\ARCHIVOS DE PROGRAMA\LOGITECH\VIDEO\FXSVR2.EXE

C:\ARCHIVOS DE PROGRAMA\AVERTV2K\QUICKTV.EXE

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\CCC.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\NETRATINGSNETSIGHT\NETSIGHT\NIELSENONLINE.EXE

C:\ARCHIVOS DE PROGRAMA\NETRATINGSNETSIGHT\NETSIGHT\NIELSENONLINE.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMP.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

L:\MIS PROGRAMAS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll

O2 - BHO: BitComet Helper - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.2.2.28.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Archivos de programa\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [PhonostarTimer] C:\Archivos de programa\phonostar\ps_timer.exe

O4 - HKCU\..\Run: [GTGMOUSE] "C:\Archivos de programa\Omni\OmniMouse driver\10.0\GTGMouse.exe"

O4 - HKCU\..\Run: [Veoh] "C:\Archivos de programa\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

O4 - HKCU\..\Run: []

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [avp] C:\RECYCLER\S-1-5-21-9613008173-3735311938-043036694-4293\hdav.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Archivos de programa\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [WLAN11gSTA.EXE] "C:\Archivos de programa\WLAN11G\WLAN11gSTA.EXE" /START

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [DVD43] "C:\Archivos de programa\DVD Region+CSS Free\DVDRegionFree.exe" /hidden

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [StartCCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [LWBKEYBOARD] "C:\Archivos de programa\Omni\Omni keyboard driver\6.0\KbdAp32A.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NielsenOnline] C:\Archivos de programa\NetRatingsNetSight\NetSight\NielsenOnline.exe

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: QuickTV.lnk

O4 - Global Startup: TeleSA.lnk

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: Adobe Gamma Loader.lnk

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Datos de programa\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Archivos de programa\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174306874859

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - %systemroot%\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {93994DE8-8239-4655-B1D1-5F4E91300429} - - C:\ARCHIV~1\DVDREG~1\DVDShell.dll

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: atksgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\atksgt.sys

O23 - Service: AVerMedia, AVerTV WDM Video Capture (BT848) - AVerMedia TECHNOLOGIES, Inc. - C:\WINDOWS\SYSTEM32\drivers\BT848.sys

O23 - Service: AVerMedia, AVerTV WDM TvTuner (BTTUNER) - AVerMedia TECHNOLOGIES, Inc. - C:\WINDOWS\SYSTEM32\drivers\BTTUNER.sys

O23 - Service: AVerMedia, AVerTV WDM Crossbar (BTXBAR) - AVerMedia, TECHNOLOGIES, Inc. - C:\WINDOWS\SYSTEM32\drivers\BTXBAR.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: lirsgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lirsgt.sys

O23 - Service: AEGIS Protocol (IEEE 802.1x) v2.3.1.9 (MDC8021X) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\mdc8021x.sys

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: StreamDispatcher - Conexant Systems - C:\WINDOWS\SYSTEM32\DRIVERS\strmdisp.sys

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: basic2 - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_BSC2.sys

O23 - Service: Logitech QuickCam Pro 3000(CamDrl) (CamDrL) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\Camdrl.sys

O23 - Service: catchme - Unknown owner - C:\ComboFix\catchme.sys (file missing)

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Adapter Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: GEARAspiWDM - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: gsplittm - Unknown owner - C:\DOCUME~1\Pc\CONFIG~1\Temp\gsplittm.sys (file missing)

O23 - Service: HSFHWBS2 - Conexant Systems - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWBS2.sys

O23 - Service: HSF_DP - Conexant Systems - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DP.sys

O23 - Service: hsf_msft - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_MSFT.sys

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: km_filter - The Nielsen Company - C:\WINDOWS\SYSTEM32\drivers\km_filter.sys

O23 - Service: Logitech USB Monitor Filter (LVUSBSta) - Logitech Inc. - C:\WINDOWS\SYSTEM32\drivers\lvusbsta.sys

O23 - Service: Motorola USB Composite Device Driver (motccgp) - Motorola - C:\WINDOWS\SYSTEM32\DRIVERS\motccgp.sys

O23 - Service: MotCcgpFlService (motccgpfl) - Motorola - C:\WINDOWS\SYSTEM32\DRIVERS\motccgpfl.sys

O23 - Service: Motorola Inc. USB Device (MotDev) - Motorola Inc - C:\WINDOWS\SYSTEM32\DRIVERS\motodrv.sys

O23 - Service: Motorola USB CDC ACM Driver (motmodem) - Motorola - C:\WINDOWS\SYSTEM32\DRIVERS\motmodem.sys

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Red Inalámbrica Local 802.11G USB Driver (PRISM_A02) - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\PRISMA02.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Rksample - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_SAMP.sys

O23 - Service: Screaming Bee Audio (SCREAMINGBDRIVER) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\ScreamingBAudio.sys (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: upperdev - Windows (R) Codename Longhorn DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: UsbserFilt - Windows (R) Codename Longhorn DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: winachsf - Conexant Systems - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

54 Servicios.

16 de Carga Automatica.

35 de Carga Manual.

3 Deshabilitados.

ya los 2 discos durs parece que volvieron a la normalidad. muchisimas gracias de verdad :)

Mensaje por **msc hotline sat** » 29 Nov 2008, 19:03

Pues estos ficheros sonn sospechosos, envianoslos para analizar:

C:\ARCHIVOS DE PROGRAMA\NETRATINGSNETSIGHT\NETSIGHT\NIELSENONLINE.EXE

C:\RECYCLER\S-1-5-21-9613008173-3735311938-043036694-4293\hdav.exe

C:\Documents and Settings\All Users\Datos de programa\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

y en cualquier caso, elimine estas claves, encuentre o no dichos ficheros:

O4 - HKLM\..\Run: [NielsenOnline] C:\Archivos de programa\NetRatingsNetSight\NetSight\NielsenOnline.exe

O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Datos de programa\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Datos de programa\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 29-11-2008

ATODAPASTILLA · Mensaje por **ATODAPASTILLA** » 29 Nov 2008, 19:31

C:\ARCHIVOS DE PROGRAMA\NETRATINGSNETSIGHT\NETSIGHT\NIELSENONLINE.EXE este archivo se trata de un programa de controlar rutinas de internet que tengo instalado voluntariamente, es de uan empresa de servicios telematicos, asi que no supone ninguna amenaza.

C:\RECYCLER\S-1-5-21-9613008173-3735311938-043036694-4293\hdav.exe este archivo desconozco su ubicacion pues no me aparece en la direccion :? .

C:\Documents and Settings\All Users\Datos de programa\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html este archivo es de la barra buscadora de winamp es tambien por instalacion voluntaria y no me reviste ningun problema.

Mensaje por **msc hotline sat** » 29 Nov 2008, 19:41

Pues prueba el ELIMOVER para este dichoso:

C:\RECYCLER\S-1-5-21-9613008173-3735311938-043036694-4293\hdav.exe

y marca la casilla de renombrar el original a .VIR, ya que es de una variante de una conocida familia de malwares.

ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp

y nos posteas el contenido de c:\infosat.txt tras ello, gracias

saludos

ms, 29-11-2008

ATODAPASTILLA · Mensaje por **ATODAPASTILLA** » 29 Nov 2008, 21:09

Sat Nov 29 21:07:18 2008

EliMover v1.0 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\RECYCLER\S-1-5-21-9613008173-3735311938-043036694-4293\hdav.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\RECYCLER\S-1-5-21-9613008173-3735311938-043036694-4293\hdav.exe" -> NO pudo ser Renombrado a .VIR

esto es malo q no se pueda renombrar?? :? gracias

Mensaje por **msc hotline sat** » 29 Nov 2008, 21:14

Sí, claro, porque continuará estando activo en el proximo reinicio.

Si lo tienes ya en C:\muestras, envianoslo y obraremos en consecuencia

Si quieres, prueba de renombrarlo arrancando en modo seguro, a lo mejor asi se deja...

sakludos

ms, 29-11-2008

ATODAPASTILLA · Mensaje por **ATODAPASTILLA** » 29 Nov 2008, 22:45

estupendo ya he enviado todas las muestras de todo lo que he sacado con vuestra ayuda, ya me comentareis como ha ido eso, muchisimas gracias ha sido una ayuda estupenda :D

Mensaje por **lucl** » 29 Nov 2008, 22:51

Pues ahora a esperar al lunes que las analicen y te demos las herramientas necesarias saludos

ATODAPASTILLA · Mensaje por **ATODAPASTILLA** » 29 Nov 2008, 23:51

ajam perfecto :wink: os lo agradezco nuevamente me resultaba muy angustioso el pensar que podria perder el contenido de mi HD, tiene mucho valor por el esfuerzo que me ha supuesto reunir la musica que tengo. muchas gracias

Mensaje por **msc hotline sat** » 01 Dic 2008, 12:07

El fichero que hemos recibido Test2.sat es de la vacuna del ELIPEN, no debes tocarlo.

Dinos si persiste alguna anomalia o tras todo lo hecho podemos dar por solucionado el Tema, gracias

saludos

ms, 1-12-2008

ATODAPASTILLA · Mensaje por **ATODAPASTILLA** » 02 Dic 2008, 09:05

hola buenos dias, hoy al conectar mi HD (L:) el icono volvio a ser una carpeta y aparecio otro autorun (me imagino que debido a que yo el primer dia lo elimine manualmente) ademas cuando le he pasado ELIPEN me ha dicho que era imposible leer autorun.inf, buenos pues le he pasad el ELISTAR y me detento USB.EXE, reincie le volvi a pasar ELIPEN y esta vez ya me lo ha vacunado como el HD de mi amigo (J:) os dejo el infosat:

Tue Dec 02 08:49:15 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad L:\ NO Protegida

Unidad L:\ NO Protegida

Unidad L:\ NO Protegida

Tue Dec 02 08:49:51 2008

EliStartPage v17.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Dec 02 08:49:59 2008

EliStartPage v17.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "L:\"

L:\RECYCLER\USBV.EXE --> Eliminado, Trojan.Inject.JUQ

Nº Total de Directorios: 4083

Nº Total de Ficheros: 24972

Nº de Ficheros Analizados: 1109

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Tue Dec 02 08:55:54 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Detectado L:\Autorun.inf

OPEN=RECYCLER\USBV.EXE

L:\Autorun.inf -> Renombrado a .OLD

Unidad L:\ Protegida

Mensaje por **msc hotline sat** » 02 Dic 2008, 09:53

Cuando dices :" ~~[b]~~[i] cuando le he pasado ELIPEN me ha dicho que era imposible leer autorun.inf[/i][/b]", posiblemente no había ningun AUTORUN.INF en la unidad explorada, o ni siquiera hbia medio en dicha unidad extraible...

Pero sea como fuera, vemos que se ha detectado y eliminado el malware:

L:\RECYCLER\USBV.EXE --> Eliminado, Trojan.Inject.JUQ

asi que lo celebramos, y dando el tema por solucionado, procedemos a cerrarlo

Si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 2-12-2008

DISCO DURO EXTERNO INFECTADO?

DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?

Re: DISCO DURO EXTERNO INFECTADO?