SPYWARE (APARCADO)

inottoni · Mensaje por **inottoni** » 05 Ene 2009, 20:09

Hola:

Creo que tengo infectado el ordenador con algún Spyware porque no dejan de aparecer mensajes emergentes en la parte derecha de la barra de estado con el título "Warning Security Report o Your computer is Danger". He probado a pasar el Ad-Aware y el Spybot en modo a prueba de fallos pero no han desaparecido los mensajes. Después he ejecutado el elistara y me ha dado el siguiente report:

Wed Jul 16 18:51:34 2008

EliStartPage v16.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\XXYYXVTU] -> C:\WINDOWS\SYSTEM32\xxyyxvtU.dll

Entrada Eliminada [HKLM\...\Run] "680c91da"="rundll32.exe "C:\WINDOWS\system32\ohdhtxoy.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\XXYYXVTU.DLL.Muestra EliStartPage v16.68

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\OHDHTXOY.DLL.Muestra EliStartPage v16.68

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OHDHTXOY.DLL --> Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Entrada Eliminada [HKCU\...\Run] "Antivirus"="C:\Archivos de programa\VAV\vav.exe"

Entrada Eliminada [HKLM\...\Run] "Antivirus"="C:\Archivos de programa\VAV\vav.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Wed Jul 16 18:54:21 2008

EliStartPage v16.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Archivos de programa\ScanSoft\OmniPageSE4\OPCOMCTL.DLL --> Eliminado, FakeAlert

Tue Jul 22 19:37:50 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\XXYYXVTU] -> C:\WINDOWS\SYSTEM32\xxyyxvtU.dll

Entrada Eliminada [HKLM\...\Run] "680c91da"="rundll32.exe "C:\WINDOWS\system32\dycgbval.dll",b" (Vundo)

Key Eliminada [WinLogon\Notify\XXYYXVTU] -> C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL

C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\DYCGBVAL.DLL.Muestra EliStartPage v16.75

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DYCGBVAL.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Eliminada Class, "{684BFE7F-F5B2-4AB3-A95E-EB5036A2D286}" -> C:\WINDOWS\system32\xxyyxvtU.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\FCCAXWMG.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\xxyyxvtU.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\XXYYXVTU"

Detectado Vundo9

C:\WINDOWS\SYSTEM32\FCCAXWMG.DLL -> Renombrado a .VIR.

Elininada Class {C50BC731-2130-4FB4-BD56-00E0941037B6}

Elininado BHO {C50BC731-2130-4FB4-BD56-00E0941037B6}

Desinstalado EliNotif.dll

Tue Jul 22 19:42:58 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "680c91da"="rundll32.exe "C:\WINDOWS\system32\gnvlaacs.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\GNVLAACS.DLL.Muestra EliStartPage v16.75

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GNVLAACS.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\FCCAXWMG.DLL.VIR --> Eliminado.

Eliminada Class, "{684BFE7F-F5B2-4AB3-A95E-EB5036A2D286}" -> C:\WINDOWS\system32\xxyyxvtU.dll

Eliminada Class, "{C50BC731-2130-4FB4-BD56-00E0941037B6}" -> C:\WINDOWS\system32\fccaxWMG.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 22 19:43:40 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Jul 22 19:47:13 2008

EliTriIP v5.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Tue Jul 22 19:47:19 2008

EliTriIP v5.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Jul 22 19:47:37 2008

EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Jul 22 19:47:39 2008

EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Jul 24 19:29:51 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 24 19:30:08 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Jul 24 19:35:50 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 24 19:36:00 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Jul 24 21:50:06 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 24 21:50:12 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Jul 25 20:40:19 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 25 20:41:30 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Jul 25 20:59:57 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 25 21:00:09 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

H:\Toni\GNVLAACS.DLL.MUESTRA ELISTARTPAGE V16.75 --> Eliminado, Vundo5

Nº Total de Directorios: 188

Nº Total de Ficheros: 1451

Nº de Ficheros Analizados: 196

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Sat Jul 26 12:14:27 2008

EliStartPage v16.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jul 26 12:14:37 2008

EliStartPage v16.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Jul 26 12:19:43 2008

EliStartPage v16.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jul 26 12:19:57 2008

EliStartPage v16.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\Mis documentos\GNVLAACS.DLL.MUESTRA ELISTARTPAGE V16.75 --> Eliminado, Vundo5

Wed Jul 30 18:56:39 2008

EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 30 18:56:52 2008

EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Jul 30 19:03:58 2008

EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Jul 30 19:03:59 2008

EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Jul 30 19:04:14 2008

EliTriIP v5.02 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Wed Jul 30 19:04:17 2008

EliTriIP v5.02 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Aug 02 19:18:41 2008

EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Aug 02 19:18:48 2008

EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Jan 05 19:46:45 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\RUNSQL.EXE.Muestra EliStartPage v17.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\RUNSQL.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SV.EXE.Muestra EliStartPage v17.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SV.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "netsv32"="C:\WINDOWS\sv.exe"

Entrada Eliminada [HKLM\...\Run] "runsql"="C:\WINDOWS\runsql.exe"

Eliminada Carpeta "%Archivos de Programa%\PCHealthCenter"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jan 05 19:50:15 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jan 05 19:51:49 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

¿QUE PUEDO HACER PARA QUE DESAPAREZCAN ESTOS MENSAJES Y EL SPYWARE?

GRACIAS

Mensaje por **lucl** » 05 Ene 2009, 20:33

Pues ve a la carpeta muestras y envianos los archivos que tengas y ademas envianos tambien este otro

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

pero primero cambiale la extension final .exe por .vir, saludos

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Mensaje por **msc hotline sat** » 06 Ene 2009, 10:00

Sí, en total debes enviarnos estos tres ficheros:

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

Por favor, envienos una muestra del fichero

C:\Muestras\RUNSQL.EXE.Muestra EliStartPage v17.73

Por favor, envienos una muestra del fichero

C:\Muestras\SV.EXE.Muestra EliStartPage v17.73

Tras analizarlos implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 6-1-2009

inottoni · Mensaje por **inottoni** » 06 Ene 2009, 13:08

Buenos días:

Acabo de enviar los ficheros que me pedís, espero haberlo hecho bien.

Gracias por responder tan rápidamente.

Saludos

Mensaje por **msc hotline sat** » 06 Ene 2009, 18:04

Pues mañana se analizaran e implementara su control y eliminacion, si procede, en nuestras utilidades., de lo cual informaremos

saludos

ms, 6-1-2009

Mensaje por **msc hotline sat** » 08 Ene 2009, 10:06

Analizadas las muestras recibidas, de los EXE se implementa su control y eliminacion en la version d e hoy del ELISTARA 17.75, ya que han resultado ser downloaders.

Y con el .pf nada podemos hacer, ya que no es ejecutable (es un prefecht) Envianos el EXE correspondiente, gracias

saludos

ms, 8-1-2009

inottoni · Mensaje por **inottoni** » 08 Ene 2009, 20:28

Hola:

He pasado la última versión del elistara que hay en vuestra web que es la 17.75 (no la 75 como me decías tú) pero los mensajes siguen saliendo, concretamente són los siguientes mensajes que aparecen en la barra de estado en un cuadro (como el de los comics) de fondo amarillo:

1.-

~~[b]~~Warning Security Report![/b]

Your computer is infected!. It is recommended to start spyware cleaner tool.

2.-

~~[b]~~Your computer is in Danger![/b]

Windows Security Center has detected spyware/adware infection! It is strongly recommended to use special antispyware tools to prevent data loss.

3.-

~~[b]~~Warning! Security Report[/b]Warning! Spyware files: Win32.Banker.FS. Trojan.SpyAgent.DA and other detected on your computer! It's highly recommended to scan the system immediately to remove all spyware and adware programs.

Además también aparece una venta de título Windows Security Center y texto:

System files and register changing are detected. Your PC is under the threat of loss of the data! It is recommended to start the guard scanner.

Os dejo a continuación el resultado del Elistara (no lo he pasado en modo a prueba de fallos):

Wed Jul 16 18:51:34 2008

EliStartPage v16.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\XXYYXVTU] -> C:\WINDOWS\SYSTEM32\xxyyxvtU.dll

Entrada Eliminada [HKLM\...\Run] "680c91da"="rundll32.exe "C:\WINDOWS\system32\ohdhtxoy.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\XXYYXVTU.DLL.Muestra EliStartPage v16.68

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\OHDHTXOY.DLL.Muestra EliStartPage v16.68

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OHDHTXOY.DLL --> Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Entrada Eliminada [HKCU\...\Run] "Antivirus"="C:\Archivos de programa\VAV\vav.exe"

Entrada Eliminada [HKLM\...\Run] "Antivirus"="C:\Archivos de programa\VAV\vav.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Wed Jul 16 18:54:21 2008

EliStartPage v16.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Archivos de programa\ScanSoft\OmniPageSE4\OPCOMCTL.DLL --> Eliminado, FakeAlert

Tue Jul 22 19:37:50 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\XXYYXVTU] -> C:\WINDOWS\SYSTEM32\xxyyxvtU.dll

Entrada Eliminada [HKLM\...\Run] "680c91da"="rundll32.exe "C:\WINDOWS\system32\dycgbval.dll",b" (Vundo)

Key Eliminada [WinLogon\Notify\XXYYXVTU] -> C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL

C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\DYCGBVAL.DLL.Muestra EliStartPage v16.75

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DYCGBVAL.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Eliminada Class, "{684BFE7F-F5B2-4AB3-A95E-EB5036A2D286}" -> C:\WINDOWS\system32\xxyyxvtU.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\FCCAXWMG.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\xxyyxvtU.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\XXYYXVTU"

Detectado Vundo9

C:\WINDOWS\SYSTEM32\FCCAXWMG.DLL -> Renombrado a .VIR.

Elininada Class {C50BC731-2130-4FB4-BD56-00E0941037B6}

Elininado BHO {C50BC731-2130-4FB4-BD56-00E0941037B6}

Desinstalado EliNotif.dll

Tue Jul 22 19:42:58 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "680c91da"="rundll32.exe "C:\WINDOWS\system32\gnvlaacs.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\GNVLAACS.DLL.Muestra EliStartPage v16.75

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GNVLAACS.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\FCCAXWMG.DLL.VIR --> Eliminado.

Eliminada Class, "{684BFE7F-F5B2-4AB3-A95E-EB5036A2D286}" -> C:\WINDOWS\system32\xxyyxvtU.dll

Eliminada Class, "{C50BC731-2130-4FB4-BD56-00E0941037B6}" -> C:\WINDOWS\system32\fccaxWMG.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 22 19:43:40 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Jul 22 19:47:13 2008

EliTriIP v5.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Tue Jul 22 19:47:19 2008

EliTriIP v5.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Jul 22 19:47:37 2008

EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Jul 22 19:47:39 2008

EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Jul 24 19:29:51 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 24 19:30:08 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Jul 24 19:35:50 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 24 19:36:00 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Jul 24 21:50:06 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 24 21:50:12 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Jul 25 20:40:19 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 25 20:41:30 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Jul 25 20:59:57 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 25 21:00:09 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

H:\Toni\GNVLAACS.DLL.MUESTRA ELISTARTPAGE V16.75 --> Eliminado, Vundo5

Nº Total de Directorios: 188

Nº Total de Ficheros: 1451

Nº de Ficheros Analizados: 196

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Sat Jul 26 12:14:27 2008

EliStartPage v16.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jul 26 12:14:37 2008

EliStartPage v16.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Jul 26 12:19:43 2008

EliStartPage v16.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jul 26 12:19:57 2008

EliStartPage v16.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\Mis documentos\GNVLAACS.DLL.MUESTRA ELISTARTPAGE V16.75 --> Eliminado, Vundo5

Wed Jul 30 18:56:39 2008

EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 30 18:56:52 2008

EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Jul 30 19:03:58 2008

EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Jul 30 19:03:59 2008

EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Jul 30 19:04:14 2008

EliTriIP v5.02 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Wed Jul 30 19:04:17 2008

EliTriIP v5.02 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Aug 02 19:18:41 2008

EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Aug 02 19:18:48 2008

EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Jan 05 19:46:45 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\RUNSQL.EXE.Muestra EliStartPage v17.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\RUNSQL.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SV.EXE.Muestra EliStartPage v17.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SV.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "netsv32"="C:\WINDOWS\sv.exe"

Entrada Eliminada [HKLM\...\Run] "runsql"="C:\WINDOWS\runsql.exe"

Eliminada Carpeta "%Archivos de Programa%\PCHealthCenter"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jan 05 19:50:15 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jan 05 19:51:49 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Wed Jan 07 13:51:29 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 07 13:51:52 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Thu Jan 08 14:27:32 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 08 14:29:38 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Thu Jan 08 14:34:04 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 08 14:35:27 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Thu Jan 08 14:36:46 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 08 14:38:03 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Thu Jan 08 20:04:58 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 08 20:06:22 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Thu Jan 08 20:10:37 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 08 20:11:49 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\ReinstallBackups\0014\DriverFiles\ALCMTR.EXE --> Eliminado, SpyRealtek

Nº Total de Directorios: 5351

Nº Total de Ficheros: 64676

Nº de Ficheros Analizados: 19678

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Espero que me podais ayudar.

Saludos y gracias

Mensaje por **lucl** » 08 Ene 2009, 22:16

Descargatelo nuevamente ya que este elistara que pasaste es el de ayer, y tu tienes que pasar el de hoy, lo pasas y nos pegas el log y nos comentas cambios en el pc saludos

inottoni · Mensaje por **inottoni** » 09 Ene 2009, 10:48

Buenos días:

Acabo de pasar el elistara versión 17.75 y siguen apareciendo los mensajes comentados. El log que me da es el siguiente:

Wed Jul 16 18:51:34 2008

EliStartPage v16.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\XXYYXVTU] -> C:\WINDOWS\SYSTEM32\xxyyxvtU.dll

Entrada Eliminada [HKLM\...\Run] "680c91da"="rundll32.exe "C:\WINDOWS\system32\ohdhtxoy.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\XXYYXVTU.DLL.Muestra EliStartPage v16.68

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\OHDHTXOY.DLL.Muestra EliStartPage v16.68

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OHDHTXOY.DLL --> Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Entrada Eliminada [HKCU\...\Run] "Antivirus"="C:\Archivos de programa\VAV\vav.exe"

Entrada Eliminada [HKLM\...\Run] "Antivirus"="C:\Archivos de programa\VAV\vav.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Wed Jul 16 18:54:21 2008

EliStartPage v16.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Archivos de programa\ScanSoft\OmniPageSE4\OPCOMCTL.DLL --> Eliminado, FakeAlert

Tue Jul 22 19:37:50 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\XXYYXVTU] -> C:\WINDOWS\SYSTEM32\xxyyxvtU.dll

Entrada Eliminada [HKLM\...\Run] "680c91da"="rundll32.exe "C:\WINDOWS\system32\dycgbval.dll",b" (Vundo)

Key Eliminada [WinLogon\Notify\XXYYXVTU] -> C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL

C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\DYCGBVAL.DLL.Muestra EliStartPage v16.75

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DYCGBVAL.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Eliminada Class, "{684BFE7F-F5B2-4AB3-A95E-EB5036A2D286}" -> C:\WINDOWS\system32\xxyyxvtU.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\FCCAXWMG.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\xxyyxvtU.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\XXYYXVTU"

Detectado Vundo9

C:\WINDOWS\SYSTEM32\FCCAXWMG.DLL -> Renombrado a .VIR.

Elininada Class {C50BC731-2130-4FB4-BD56-00E0941037B6}

Elininado BHO {C50BC731-2130-4FB4-BD56-00E0941037B6}

Desinstalado EliNotif.dll

Tue Jul 22 19:42:58 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "680c91da"="rundll32.exe "C:\WINDOWS\system32\gnvlaacs.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\GNVLAACS.DLL.Muestra EliStartPage v16.75

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GNVLAACS.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\FCCAXWMG.DLL.VIR --> Eliminado.

Eliminada Class, "{684BFE7F-F5B2-4AB3-A95E-EB5036A2D286}" -> C:\WINDOWS\system32\xxyyxvtU.dll

Eliminada Class, "{C50BC731-2130-4FB4-BD56-00E0941037B6}" -> C:\WINDOWS\system32\fccaxWMG.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 22 19:43:40 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Jul 22 19:47:13 2008

EliTriIP v5.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Tue Jul 22 19:47:19 2008

EliTriIP v5.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Jul 22 19:47:37 2008

EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Jul 22 19:47:39 2008

EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Jul 24 19:29:51 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 24 19:30:08 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Jul 24 19:35:50 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 24 19:36:00 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Jul 24 21:50:06 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 24 21:50:12 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Jul 25 20:40:19 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 25 20:41:30 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Jul 25 20:59:57 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 25 21:00:09 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

H:\Toni\GNVLAACS.DLL.MUESTRA ELISTARTPAGE V16.75 --> Eliminado, Vundo5

Nº Total de Directorios: 188

Nº Total de Ficheros: 1451

Nº de Ficheros Analizados: 196

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Sat Jul 26 12:14:27 2008

EliStartPage v16.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jul 26 12:14:37 2008

EliStartPage v16.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Jul 26 12:19:43 2008

EliStartPage v16.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jul 26 12:19:57 2008

EliStartPage v16.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\Mis documentos\GNVLAACS.DLL.MUESTRA ELISTARTPAGE V16.75 --> Eliminado, Vundo5

Wed Jul 30 18:56:39 2008

EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 30 18:56:52 2008

EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Jul 30 19:03:58 2008

EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Jul 30 19:03:59 2008

EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Jul 30 19:04:14 2008

EliTriIP v5.02 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Wed Jul 30 19:04:17 2008

EliTriIP v5.02 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Aug 02 19:18:41 2008

EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Aug 02 19:18:48 2008

EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Jan 05 19:46:45 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\RUNSQL.EXE.Muestra EliStartPage v17.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\RUNSQL.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SV.EXE.Muestra EliStartPage v17.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SV.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "netsv32"="C:\WINDOWS\sv.exe"

Entrada Eliminada [HKLM\...\Run] "runsql"="C:\WINDOWS\runsql.exe"

Eliminada Carpeta "%Archivos de Programa%\PCHealthCenter"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jan 05 19:50:15 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jan 05 19:51:49 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Wed Jan 07 13:51:29 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 07 13:51:52 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Thu Jan 08 14:27:32 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 08 14:29:38 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Thu Jan 08 14:34:04 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 08 14:35:27 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Thu Jan 08 14:36:46 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 08 14:38:03 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Thu Jan 08 20:04:58 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 08 20:06:22 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Thu Jan 08 20:10:37 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 08 20:11:49 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\ReinstallBackups\0014\DriverFiles\ALCMTR.EXE --> Eliminado, SpyRealtek

Nº Total de Directorios: 5351

Nº Total de Ficheros: 64676

Nº de Ficheros Analizados: 19678

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Fri Jan 09 10:31:43 2009

EliStartPage v17.75 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 09 10:33:10 2009

EliStartPage v17.75 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\RUNSQL.EXE.MUESTRA ELISTARTPAGE V17.73 --> Eliminado, DownLoader.Delf.CIK

C:\Muestras\SV.EXE.MUESTRA ELISTARTPAGE V17.73 --> Eliminado, DownLoader.Delf.CNU

Nº Total de Directorios: 5364

Nº Total de Ficheros: 64779

Nº de Ficheros Analizados: 19708

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Saludos

Mensaje por **msc hotline sat** » 09 Ene 2009, 10:54

Pues ya ves que se han eliminado dos malwares yu se piden muestras de otros sospechoso para analizar:

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

Aparte te faltan parches:

No detectado SP3 de Windows XP

Lanza un windowsupdate e instala el SP3 y posteriores criticos como el MS08-067 y MS09-078

saludos

ms, 9-1-2009

inottoni · Mensaje por **inottoni** » 09 Ene 2009, 17:06

Hola:

Os acabo de enviar las muestras que me pedís,el archivo WNDUTL32.DLL que he encontrado en C:\Muestras\WNDUTL32.DLL y el adobev que no he encontrado en la dirección que me decís C:\WINDOWS\system32\Adobev.exe sino que estaba en windows\system32\Prefecht.

Espero notícias.

Mensaje por **msc hotline sat** » 09 Ene 2009, 17:41

Los de prefecth no sirven, no son EXE, son .PF no monitorizables. Mira si encuentras el .EXE

Y las DLL las veremos el lunes, cuando volvamos al trabajo en SATINFO

saludos

ms, 9-1-2009

inottoni · Mensaje por **inottoni** » 10 Ene 2009, 11:52

Hola:

He buscado el exe y no aparece por ningún sitio (ni en la carpeta que se supone que está ni en otro sitio).

Por otra parte han habido cambios en el pc pues ahora me aparece un programa que yo no he instalado el Spyware Guard 2009 y al hacer búsquedas en google en ocasiones los resultados de la búsqueda aparecen con un tamaño de letra mucho mayor al normal y si pulsas cualquiera de esos enlaces no te llevan a lo que realmente anuncian.

Saludos

Mensaje por **lucl** » 10 Ene 2009, 14:04

Peganos log de sprocess a ver que claves tienes, lo ejecutas luego le das a salir y en C tendras el sproclog que debes pegarnos saludos

http://www.zonavirus.com/descargas/sproces.asp

inottoni · Mensaje por **inottoni** » 10 Ene 2009, 17:41

Hola, aquí os pego el log:

Sat Jan 10 17:40:08 2009

SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Nombre Equipo: O-89F9800722A74

Nombre Usuario: Administrador

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_07\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE.COM\AGENT\MCAGENT.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\PCM4EVERIO\EVERIOSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\SITEADVISOR\MCSACORE.EXE

C:\ARCHIVOS DE PROGRAMA\SCANSOFT\OMNIPAGESE4\OPWARESE4.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\WRTMON.EXE

C:\WINDOWS\ODB.EXE

C:\WINDOWS\SVZIP.EXE

C:\WINDOWS\SVHOSTER.EXE

C:\ARCHIV~1\MCAFEE\MSC\MCMSCSVC.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\WRTPROC.EXE

C:\WINDOWS\VLC.EXE

C:\WINDOWS\WDMON.EXE

C:\WINDOWS\SVX.EXE

C:\WINDOWS\SVW.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SVC.EXE

C:\ARCHIVOS DE PROGRAMA\SPYWARE GUARD 2009\SPYWAREGUARD.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\ARCHIV~1\ARCHIV~1\MCAFEE\MNA\MCNASVC.EXE

C:\ARCHIV~1\ARCHIV~1\MCAFEE\MCPROXY\MCPROXY.EXE

C:\ARCHIV~1\MCAFEE\VIRUSS~1\MCSHIELD.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MPF\MPFSRV.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\WINSCENTER.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

C:\ARCHIVOS DE PROGRAMA\TELEFONICA\BIN\SPRTSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM32\WGATRAY.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIV~1\MCAFEE\VIRUSS~1\MCSYSMON.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_07\BIN\JUCHECK.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan\scriptsn.dll

O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll

O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Sys221.exe] C:\Windows\Sys221.exe

O4 - HKCU\..\Run: [Sys222.exe] C:\Windows\Sys222.exe

O4 - HKCU\..\Run: [Sys223.exe] C:\Windows\Sys223.exe

O4 - HKCU\..\Run: [Sys224.exe] C:\Windows\Sys224.exe

O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\system32\Adobev.exe

O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\system32\Adobev.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [mcagent_exe] "C:\Archivos de programa\McAfee.com\Agent\mcagent.exe" /runkey

O4 - HKLM\..\Run: [McENUI] C:\ARCHIV~1\McAfee\MHN\McENUI.exe /hide

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [EverioService] "C:\Archivos de programa\CyberLink\PCM4Everio\EverioService.exe"

O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Archivos de programa\Canon\SolutionMenu\CNSLMAIN.exe /logon

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe"

O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [odb] C:\WINDOWS\odb.exe

O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\system32\Adobev.exe

O4 - HKLM\..\Run: [netzip] C:\WINDOWS\svzip.exe

O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe

O4 - HKLM\..\Run: [vlc] C:\WINDOWS\vlc.exe

O4 - HKLM\..\Run: [wdmon] C:\WINDOWS\wdmon.exe

O4 - HKLM\..\Run: [netx] C:\WINDOWS\svx.exe

O4 - HKLM\..\Run: [netw] C:\WINDOWS\svw.exe

O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe

O4 - HKLM\..\Run: [spywareguard] C:\Archivos de programa\Spyware Guard 2009\spywareguard.exe

O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\system32\Adobev.exe

O4 - Startup: Búsqueda rápida de Microsoft.lnk

O4 - Startup: desktop.ini

O4 - Startup: Inicio de Office.lnk

O4 - Global Startup: Adobe Gamma Loader.exe.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: RunOnceUnknown - {9e4788c7-3511-4ae3-bf0b-6ea3d95b368e} - (no file)

O21 - SSODL: ieModule - {496492F5-C872-4F80-9C9F-0A561BB60555} - C:\Documents and Settings\All Users\Application Data\Microsoft\Internet Explorer\DLLs\ieModule.dll

O21 - SSODL: InternetConnection - {A0DBF75A-2E7E-461E-B28F-6F413948C22E} - C:\Documents and Settings\All Users\Application Data\Microsoft\Internet Explorer\DLLs\mezpskftmx.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)

O22 - SharedTaskScheduler: {020487CC-FC04-4B1E-863F-D9801796230B} - Windows Installer Class - C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\wndutl32.dll

Información Adicional:

----------------------

Activada Restricción del Administador de Tareas.(DisableTaskMgr)

Activada Restricción de las Propiedades de Pantalla, Pestaña "Fondo" Anulada.(NoChangingWallpaper)

Activada Restricción de las Propiedades de Pantalla, Pestaña "Web" Oculta.(NoActiveDesktopChanges)

Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - C:\Archivos de programa\McAfee\SiteAdvisor\McSACore.exe

**O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

*O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SupportSoft Sprocket Service (Telefonica) (sprtsvc_Telefonica) - SupportSoft, Inc. - C:\Archivos de programa\Telefonica\bin\sprtsvc.exe

O23 - Service: tmcomm - Trend Micro Inc. - C:\WINDOWS\system32\drivers\tmcomm.sys

Listado de Servicios (Carga Manual):

------------------------------------

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE

O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

**O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Inc. mfeavfk (mfeavfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeavfk.sys

O23 - Service: McAfee Inc. mfebopk (mfebopk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfebopk.sys

O23 - Service: McAfee Inc. mferkdk (mferkdk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mferkdk.sys

O23 - Service: McAfee Inc. mfesmfk (mfesmfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfesmfk.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: PADUS ASPI SHELL (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

35 Servicios.

13 de Carga Automatica.

21 de Carga Manual.

1 Deshabilitados.

Saludos

Mensaje por **lucl** » 10 Ene 2009, 21:24

Pues ya ves que te sigue dando esto

O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\system32\Adobev.exe

O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\system32\Adobev.exe

ademas tienes esto

O4 - HKCU\..\Run: [Sys221.exe] C:\Windows\Sys221.exe

O4 - HKCU\..\Run: [Sys222.exe] C:\Windows\Sys222.exe

O4 - HKCU\..\Run: [Sys223.exe] C:\Windows\Sys223.exe

O4 - HKCU\..\Run: [Sys224.exe] C:\Windows\Sys224.exe

mira de buscarlos y subirlos a analizar a virustotal , si dan viricos los renombras a .VIR y los envias para analizartelos

de estos te dire que dos tengo dudas por si las moscas subelos a analizar tambien y si dan viricos te digo lo mismo que los otros

O4 - HKLM\..\Run: [wdmon] C:\WINDOWS\wdmon.exe

O4 - HKLM\..\Run: [netx] C:\WINDOWS\svx.exe

O4 - HKLM\..\Run: [netw] C:\WINDOWS\svw.exe

O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe

vamos de momento con eso y nos comentas y por si estuvieran ocultos antes de buscarlos mirate este link que te dejo debajo saludos

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

inottoni · Mensaje por **inottoni** » 11 Ene 2009, 16:34

Hola:

He hecho lo que me habeis dicho para ver todos los tipos de archivos (únicamente había hecho lo de ver los archivos ocultos) y ahora si que me aparece el archivo adobev.exe pero al intentar comprimirlo me dice que está siendo usado. He intentado terminar el proceso que pueda estar usando el archivo mediante el administrador de tareas pero no me deja acceder a este porque dice que está deshabilitado por un administrador.

En cuanto a los archivos sys221 y siguientes no me aparecen en el ordenador. Los cuatro archivos siguientes si aparecen pero al cargarlos en el virustotal online me da una página de internet en blanco diciendo que no se puede mostrar la página así que no ha podido comprobar si tienen virus.

Como puedo hacer para analizarlos y enviarlos.

Saludos

Mensaje por **msc hotline sat** » 11 Ene 2009, 17:53

Prueba de arrancar en modo seguro con funciones de red, asi posiblemente no estarán en uso y no incordiarán...

saludos

ms, 11-1-2009

inottoni · Mensaje por **inottoni** » 12 Ene 2009, 20:22

Hola:

He intentado acceder al archivo en modo seguro con funciones de red y me ha dejado copiarlo. Os envío en unos momentos un rar con el archivo adobev.exe y los wdmon.exe, svx.exe, svw.exe y svc.exe renombrados a vir porque al pasarlos por el virustotal me da página en blanco.

Como ya dije en el anterior mensaje los archivos sys*.exe no me aparecen.

Espero que con lo que os envío y la DLL (wndutl32.dll) que teníais pendiente de comprobar, podamos encontrar el problema y darle solución.

Saludos y espero notícias

Mensaje por **msc hotline sat** » 12 Ene 2009, 20:30

Pues esperamos encontrarlos mañana cuando volvamos al trabajo en SATINFO. Los analizaremos e informaremos

saludos

ms, 12-1-2009

Mensaje por **msc hotline sat** » 14 Ene 2009, 08:42

Hemos implementado control y eliminacion dela mjuestra enviada, como RBOT en nuestra utilidad ELITRIIP:

[quote]

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 14-1-2009

inottoni · Mensaje por **inottoni** » 15 Ene 2009, 15:48

Hola:

Acabo de pasar el Elitriip y este es el contenido del txt infosat (siento decir que siguen saliendo los mensajes):

Wed Jul 16 18:51:34 2008

EliStartPage v16.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\XXYYXVTU] -> C:\WINDOWS\SYSTEM32\xxyyxvtU.dll

Entrada Eliminada [HKLM\...\Run] "680c91da"="rundll32.exe "C:\WINDOWS\system32\ohdhtxoy.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\XXYYXVTU.DLL.Muestra EliStartPage v16.68

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\OHDHTXOY.DLL.Muestra EliStartPage v16.68

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OHDHTXOY.DLL --> Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Entrada Eliminada [HKCU\...\Run] "Antivirus"="C:\Archivos de programa\VAV\vav.exe"

Entrada Eliminada [HKLM\...\Run] "Antivirus"="C:\Archivos de programa\VAV\vav.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Wed Jul 16 18:54:21 2008

EliStartPage v16.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Archivos de programa\ScanSoft\OmniPageSE4\OPCOMCTL.DLL --> Eliminado, FakeAlert

Tue Jul 22 19:37:50 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\XXYYXVTU] -> C:\WINDOWS\SYSTEM32\xxyyxvtU.dll

Entrada Eliminada [HKLM\...\Run] "680c91da"="rundll32.exe "C:\WINDOWS\system32\dycgbval.dll",b" (Vundo)

Key Eliminada [WinLogon\Notify\XXYYXVTU] -> C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL

C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\DYCGBVAL.DLL.Muestra EliStartPage v16.75

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DYCGBVAL.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\XXYYXVTU.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Eliminada Class, "{684BFE7F-F5B2-4AB3-A95E-EB5036A2D286}" -> C:\WINDOWS\system32\xxyyxvtU.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\FCCAXWMG.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\xxyyxvtU.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\XXYYXVTU"

Detectado Vundo9

C:\WINDOWS\SYSTEM32\FCCAXWMG.DLL -> Renombrado a .VIR.

Elininada Class {C50BC731-2130-4FB4-BD56-00E0941037B6}

Elininado BHO {C50BC731-2130-4FB4-BD56-00E0941037B6}

Desinstalado EliNotif.dll

Tue Jul 22 19:42:58 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "680c91da"="rundll32.exe "C:\WINDOWS\system32\gnvlaacs.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\GNVLAACS.DLL.Muestra EliStartPage v16.75

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GNVLAACS.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\FCCAXWMG.DLL.VIR --> Eliminado.

Eliminada Class, "{684BFE7F-F5B2-4AB3-A95E-EB5036A2D286}" -> C:\WINDOWS\system32\xxyyxvtU.dll

Eliminada Class, "{C50BC731-2130-4FB4-BD56-00E0941037B6}" -> C:\WINDOWS\system32\fccaxWMG.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 22 19:43:40 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Jul 22 19:47:13 2008

EliTriIP v5.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Tue Jul 22 19:47:19 2008

EliTriIP v5.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Jul 22 19:47:37 2008

EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Jul 22 19:47:39 2008

EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Jul 24 19:29:51 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 24 19:30:08 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Jul 24 19:35:50 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 24 19:36:00 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Jul 24 21:50:06 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 24 21:50:12 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Jul 25 20:40:19 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 25 20:41:30 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Jul 25 20:59:57 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 25 21:00:09 2008

EliStartPage v16.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

H:\Toni\GNVLAACS.DLL.MUESTRA ELISTARTPAGE V16.75 --> Eliminado, Vundo5

Nº Total de Directorios: 188

Nº Total de Ficheros: 1451

Nº de Ficheros Analizados: 196

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Sat Jul 26 12:14:27 2008

EliStartPage v16.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jul 26 12:14:37 2008

EliStartPage v16.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Jul 26 12:19:43 2008

EliStartPage v16.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jul 26 12:19:57 2008

EliStartPage v16.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\Mis documentos\GNVLAACS.DLL.MUESTRA ELISTARTPAGE V16.75 --> Eliminado, Vundo5

Wed Jul 30 18:56:39 2008

EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 30 18:56:52 2008

EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Jul 30 19:03:58 2008

EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Jul 30 19:03:59 2008

EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Jul 30 19:04:14 2008

EliTriIP v5.02 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Wed Jul 30 19:04:17 2008

EliTriIP v5.02 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Aug 02 19:18:41 2008

EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Aug 02 19:18:48 2008

EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Jan 05 19:46:45 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\RUNSQL.EXE.Muestra EliStartPage v17.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\RUNSQL.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SV.EXE.Muestra EliStartPage v17.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SV.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "netsv32"="C:\WINDOWS\sv.exe"

Entrada Eliminada [HKLM\...\Run] "runsql"="C:\WINDOWS\runsql.exe"

Eliminada Carpeta "%Archivos de Programa%\PCHealthCenter"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jan 05 19:50:15 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jan 05 19:51:49 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Wed Jan 07 13:51:29 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 07 13:51:52 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Thu Jan 08 14:27:32 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 08 14:29:38 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Thu Jan 08 14:34:04 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 08 14:35:27 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Thu Jan 08 14:36:46 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 08 14:38:03 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Thu Jan 08 20:04:58 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 08 20:06:22 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Thu Jan 08 20:10:37 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 08 20:11:49 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\ReinstallBackups\0014\DriverFiles\ALCMTR.EXE --> Eliminado, SpyRealtek

Nº Total de Directorios: 5351

Nº Total de Ficheros: 64676

Nº de Ficheros Analizados: 19678

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Fri Jan 09 10:31:43 2009

EliStartPage v17.75 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{020487CC-FC04-4B1E-863F-D9801796230B}"]

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 09 10:33:10 2009

EliStartPage v17.75 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\RUNSQL.EXE.MUESTRA ELISTARTPAGE V17.73 --> Eliminado, DownLoader.Delf.CIK

C:\Muestras\SV.EXE.MUESTRA ELISTARTPAGE V17.73 --> Eliminado, DownLoader.Delf.CNU

Nº Total de Directorios: 5364

Nº Total de Ficheros: 64779

Nº de Ficheros Analizados: 19708

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Thu Jan 15 15:26:20 2009

EliTriIP v5.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\Adobev.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ADOBEV.EXE --> Acceso Denegado.

Entrada Eliminada [HKCU\...\Run] "UpdateWin"="C:\WINDOWS\system32\Adobev.exe"

Entrada Eliminada [HKCU\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\Adobev.exe"

Entrada Eliminada [HKLM\...\Run] "UpdateWin"="C:\WINDOWS\system32\Adobev.exe"

Entrada Eliminada [HKLM\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\Adobev.exe"

No detectado SP3 de Windows XP

Reinicie para Completar la Limpieza.

Thu Jan 15 15:26:35 2009

EliTriIP v5.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 5394

Nº Total de Ficheros: 65912

Nº de Ficheros Analizados: 18157

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Jan 15 15:33:19 2009

EliTriIP v5.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\ADOBEV.EXE --> Eliminado IRCBot.ARB

Entrada Eliminada [HKCU\...\Run] "UPDATEWIN"="C:\WINDOWS\system32\Adobev.exe"

Entrada Eliminada [HKCU\...\RunServices] "UPDATEWIN"="C:\WINDOWS\system32\Adobev.exe"

Entrada Eliminada [HKLM\...\Run] "UPDATEWIN"="C:\WINDOWS\system32\Adobev.exe"

Entrada Eliminada [HKLM\...\RunServices] "UPDATEWIN"="C:\WINDOWS\system32\Adobev.exe"

No detectado SP3 de Windows XP

Thu Jan 15 15:33:37 2009

EliTriIP v5.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 5371

Nº Total de Ficheros: 65908

Nº de Ficheros Analizados: 18184

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Saludos

Mensaje por **msc hotline sat** » 15 Ene 2009, 17:13

Pues las muestras que solicitacamos del C:\WINDOWS\system32\Adobev.exe ya no hace falta que nos las envies, pues las ha podido eliminar el ELITRIIP en el siguiente reinicio, por accion directa:

EliTriIP v5.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\ADOBEV.EXE --> Eliminado IRCBot.ARB

Dinos si tras reiniciar persiste alguna anomalia o podemos dar por solucionado el Tema, gracias

saludos

ms, 15-1-2009

inottoni · Mensaje por **inottoni** » 15 Ene 2009, 19:59

Buenas tardes:

Lamento decir que al reiniciar persisten todas las anomalías, automáticamente se cargan dos ventanas denominadas "Windows Security Center" y "Spyware Guard 2009" las cuales no salían cuando el pc estaba bien y supongo que corresponden a aplicaciones, las cuales no he instalado para nada en el pc.

Los otros mensajes en cuadros amarillos que aparecían en la barra de estado (a la derecha) continuan saliendo también.

No sé que es lo que puedo tener en este pc.

Hasta luego.

Mensaje por **msc hotline sat** » 15 Ene 2009, 21:27

Pero hay ptra muestra que te pedimos y no nos has enviado, hazlo:

Por favor, envienos una muestra del fichero

C:\Muestras\WNDUTL32.DLL

y ademas, prueba el SPROCES y posteanos el informe resultante:

[quote="msc escribió"]
~~[b]~~SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.

Lo que queda, parece ser simplemente un falso antivirus (rogue o fake alert), que veremos en dicho informe y te pediremos muestras para analizar e implementar en nuestra proxima version de ELISTARA

saludos

ms, 15-1-2009

inottoni · Mensaje por **inottoni** » 16 Ene 2009, 17:40

Hola:

Este mediodía (a las 16:00 horas) os he enviado el archivo que me pedíais (WNDUTL32) y que ya envíe hace días junto con los archivos svx, svw, svc y wdmon. A continuación os dejo el contenido del archivo SprocLog.txt que no he podido poner a mediodía porque no he podido descargarme el Sprocess en mi ordenador porque con lor problemas actuales muchas cosas en internet no me deja hacer que digamos y he tenido que descargarlo en otro ordenador que gestiono. Ruego que si no habeís recibido el archivo que os he enviado a mediodía me lo digais y lo volvería a enviar:

Fri Jan 16 17:36:55 2009

SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Nombre Equipo: O-89F9800722A74

Nombre Usuario: Administrador

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_07\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\PCM4EVERIO\EVERIOSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\SCANSOFT\OMNIPAGESE4\OPWARESE4.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\WRTMON.EXE

C:\WINDOWS\SVZIP.EXE

C:\WINDOWS\SVHOSTER.EXE

C:\WINDOWS\VLC.EXE

C:\WINDOWS\WDMON.EXE

C:\WINDOWS\SVX.EXE

C:\WINDOWS\SVW.EXE

C:\WINDOWS\SVC.EXE

C:\ARCHIVOS DE PROGRAMA\SPYWARE GUARD 2009\SPYWAREGUARD.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\COMMON FRAMEWORK\UDATERUI.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\MCUPDATE_1232046926.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\WRTPROC.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\WINDOWS\SYSTEM32\WINSCENTER.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\COMMON FRAMEWORK\FRAMEWORKSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

C:\ARCHIVOS DE PROGRAMA\TELEFONICA\BIN\SPRTSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\COMMON FRAMEWORK\MCTRAY.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\WINDOWS\ODB.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\U3\0000187B857607B5\LAUNCHPAD.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan Enterprise\scriptsn.dll (file missing)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Sys221.exe] C:\Windows\Sys221.exe

O4 - HKCU\..\Run: [Sys222.exe] C:\Windows\Sys222.exe

O4 - HKCU\..\Run: [Sys223.exe] C:\Windows\Sys223.exe

O4 - HKCU\..\Run: [Sys224.exe] C:\Windows\Sys224.exe

O4 - HKCU\..\Run: [McAfee Update] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\mcupdate_1232046926.exe /syncfin C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\mcupdate_1232046926.ini /insfin

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [EverioService] "C:\Archivos de programa\CyberLink\PCM4Everio\EverioService.exe"

O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Archivos de programa\Canon\SolutionMenu\CNSLMAIN.exe /logon

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe"

O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [odb] C:\WINDOWS\odb.exe

O4 - HKLM\..\Run: [netzip] C:\WINDOWS\svzip.exe

O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe

O4 - HKLM\..\Run: [vlc] C:\WINDOWS\vlc.exe

O4 - HKLM\..\Run: [wdmon] C:\WINDOWS\wdmon.exe

O4 - HKLM\..\Run: [netx] C:\WINDOWS\svx.exe

O4 - HKLM\..\Run: [netw] C:\WINDOWS\svw.exe

O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe

O4 - HKLM\..\Run: [spywareguard] C:\Archivos de programa\Spyware Guard 2009\spywareguard.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey

O4 - Startup: Búsqueda rápida de Microsoft.lnk

O4 - Startup: desktop.ini

O4 - Startup: Inicio de Office.lnk

O4 - Global Startup: Adobe Gamma Loader.exe.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: RunOnceUnknown - {9e4788c7-3511-4ae3-bf0b-6ea3d95b368e} - (no file)

O21 - SSODL: ieModule - {496492F5-C872-4F80-9C9F-0A561BB60555} - C:\Documents and Settings\All Users\Application Data\Microsoft\Internet Explorer\DLLs\ieModule.dll

O21 - SSODL: InternetConnection - {A0DBF75A-2E7E-461E-B28F-6F413948C22E} - C:\Documents and Settings\All Users\Application Data\Microsoft\Internet Explorer\DLLs\mezpskftmx.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)

O22 - SharedTaskScheduler: {020487CC-FC04-4B1E-863F-D9801796230B} - Windows Installer Class - C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\wndutl32.dll (file missing)

Información Adicional:

----------------------

Activada Restricción de las Propiedades de Pantalla, Pestaña "Fondo" Anulada.(NoChangingWallpaper)

Activada Restricción de las Propiedades de Pantalla, Pestaña "Web" Oculta.(NoActiveDesktopChanges)

Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - McAfee, Inc. - C:\Archivos de programa\McAfee\Common Framework\FrameworkService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SupportSoft Sprocket Service (Telefonica) (sprtsvc_Telefonica) - SupportSoft, Inc. - C:\Archivos de programa\Telefonica\bin\sprtsvc.exe

O23 - Service: tmcomm - Trend Micro Inc. - C:\WINDOWS\system32\drivers\tmcomm.sys

Listado de Servicios (Carga Manual):

------------------------------------

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE

O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: PADUS ASPI SHELL (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

24 Servicios.

8 de Carga Automatica.

15 de Carga Manual.

1 Deshabilitados.

SALUDOS

Mensaje por **msc hotline sat** » 16 Ene 2009, 18:02

Las 16 h no es mediodia sino media tarde ! y los viernes a esta hora ya no trabajamos :wink:

Así que será el lunes cuando recibamos los ficheros que hayas enviado y los analizaremos

Aparte paso a mirar el log

Mensaje por **msc hotline sat** » 16 Ene 2009, 19:06

Faltan parches !!!:

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Lanzar un windowsupdate e instalar el SP3 y demas críticos posteriores , como el MS08-067 y MS08-078

y envianos estos ficheros para analizar:

C:\WINDOWS\SVZIP.EXE

C:\WINDOWS\SVHOSTER.EXE

C:\WINDOWS\SVX.EXE

C:\WINDOWS\SVW.EXE

C:\WINDOWS\SYSTEM32\WINSCENTER.EXE

C:\WINDOWS\ODB.EXE

C:\Windows\Sys221.exe

C:\Windows\Sys222.exe

C:\Windows\Sys223.exe

C:\Windows\Sys224.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\mcupdate_1232046926.exe /syncfin

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\mcupdate_1232046926.ini

C:\Archivos de programa\Spyware Guard 2009\spywareguard.exe

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 16-1-2009

inottoni · Mensaje por **inottoni** » 16 Ene 2009, 19:16

Hola:

Ya imagino que la tarea es para el lunes. En cuanto a los parches, seguramente debido a este problema al ir a windowsupdate no me carga la página (queda en blanco), es como si mi ordenador no tuviese suficiente "fuerza" para cargar algunas páginas (me pasa lo mismo con el antivirus que me caduco hace un mes y medio, y posiblemente me venga el problema por eso, pues deja pasar la renovación y ahora que quiero renovarlo al ir a la opción de renovar y intentar cargar la página web de mcafee tampoco se carga y aparece en blanco.

Bueno, hasta luego. Os envío próximamente estos archivos que me pides.

Saludos y buen fin de semana.

Mensaje por **msc hotline sat** » 16 Ene 2009, 19:22

Sí, envianos los ficheros como indicamos y los analizaremos cuando volvamos al trabajo en SATINFO.

Si quieres salir de dudas respecto alguno, subelo al virustotal : www.virustotal.com/es y sabras si es o no es malware, testandolo con mas de 30 antivirus actualizados !

Los que no los detecte nadie, no hace falta que nos los envies

saludos

ms, 16-1-2009

SPYWARE (APARCADO)

SPYWARE (APARCADO)

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE

Re: SPYWARE