ayuda con un posible troyano

[choma90]

Hola antes q nada andaba buscando ayuda por internet y vi este foro. Lo estube mirando un rato y parece que los admin ayudan mucho a la gente ^^.



Hace unos dias mi hermano desactivo el antivirus y caundo abrio un meil parece que me entro un troyans que me deshabilita la barra del buscador del Internet Explorer, el Administrador de Tareas, el Messenger, aveces el Firefox y cada 5 segundos tira un menaje de error que es muy molesto.

El Administrador de Tareas lo puedo abrir de nuevo entrando al registro cada vez que que reinicio la compu el valor del registro vuelve a cambiar.

El mensaje de error desaparece cuando aprieto el boton de apagar del teclado y tambien me deja usar el ffox de vuelta (no se porque).



El AVG no me encuentra nada, el spybot me borro como 15 amenazas pero no cambio nada, el NOD me encuentra el siguiente archivo pero dice que no lo puede eliminar porque esta siendo usado por un programa:

[b]C:\Windows\System32\jkklEUMF.dll[/b]

Me dice que tengo que reiniciar la PC para poder eliminarlo pero nunca lo elimina.



Este el mensaje me tira el IExplorer:

[url=http://www.imagehosting.com/][img]http://img410.imageshack.us/img410/9358/222wr2.jpg[/img][/url]



Estos son los procesos del sistema(resaltados los que me parece que aparecieron hace poco)

[url=http://www.imagehosting.com/][img]http://img502.imageshack.us/img502/5584/333fe7.jpg[/img][/url]



El proceso inactivo del sistema no se q es, esta desde que prendo la compu y es ul unico que no puedo terminar.

El rundll32 esta 2 veces.

El IExplorer tambien aparece dos aveces a pesar de que no tengo niguno abierto.



Si necesitan algun dato ams apara ayudarme avisen y edito el post desde ya muchas gracias.

Saludos.

[julibaga]

De entrada, renombra este archivo, añadiénlole la extensión .vir para que no lo ejecute cuando inicies otra vez la máquina.
[quote="choma90"]C:\Windows\System32\jkklEUMF.dll[/quote] de manera que quede como jkklEUMF.dll.vir



Si no te lo permite, arrancando en Modo seguro, prueba el [url=http://www.zonavirus.com/descargas/elimover.asp]Elimover[/url] entrándole la ruta y nombre de fichero:

c:\windows\system32\jkklEUMF.dll

y acepta en cambiar su extensión a .VIR para que no pueda lanzarse a partir del próximo reinicio. Con ello, lo moverá a [b]c:\muestras[/b], y desde allí lo envías para analizar.



Para ello recuerda:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Bájate las siguientes utilidades:

[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url]

Las ejecutas de una en una y cuando terminen abres el archivo [b]c:\infosat.txt[/b], copias el contenido y lo pegas en tu siguiente post para ver los resultados.



Si pide el [url=http://www.zonavirus.com/descargas/elinotif.asp]Elinotif.dll[/url], copiar dicho fichero en la misma carpeta que el Elistara.exe, el cual la utilizará si la necesita.



Además, para ver los procesos bájate el [url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url] (herramienta de investigación)

y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.

[msc hotline sat]

Y sobre lo que preguntas:



1.-El proceso inactivo del sistema no se q es, esta desde que prendo la compu y es ul unico que no puedo terminar.



[b][i]No hay que terminar con él! :mrgreen: es justamente lo que tienes libre para usar, esto es, la disponibilidad del sistema, asi que cuanta mas mejor![/i][/b]



2.-El rundll32 esta 2 veces.



[b][i]Estará tantes veces como DLL quieran utilizarse, al igual que el SVCHOSTS (lanzador de tareas), son del sistema y es normal que haya varios[/i][/b]



3.-El IExplorer tambien aparece dos aveces a pesar de que no tengo niguno abierto.



[b][i]Ahí duele !: Si lo utiliza, puede apararecer tantas veces como sesiones abiertas, pero si no lo tiene abierto voluntariamente ... algo lo está haciendo en segundo plano, y ello muy bien puede ser un malware, posiblemente el que le trae de cabeza :wink: [/i][/b]





Y tan pronto como nos envie la muestra indicada por julibaga, la analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 20-2-2009

[choma90]

[b]EDITO:No puedo examinar para enviar analisis y no puedo escribir en el cuadro de texto[/b]



Muchas gracias muy buena la info ya hice todo casi exactamente al pie de la letra. Pero sigue mi probelema igual



por las dudas revisen los links de las descargas porque cuando puse bajar el Elimover, baje el Elistripp, cuando quise bajar el Elistara, baje el Elimover. Despues de provar varias veces busque en el google y me tiro los links correcros de cada descarga, tambien despues los links del foro anduvieron bien. Por apurado y no ver el nombre de lo que baje use el Elitripp primero pensando que era el Elimover y lo ejecute, cuando puse el el Elimover despues no estaba mas el archivo [b]jkklEUMF.dll[/b] por eso no lo pude enviar para el analisis.Sin emabargo despues de ejecutar los otros progrmas me aparcio el archivo [b]IIFGDUUR.DLL[/b] en la carpeta muestras el cual estoy enviando.

despues de eso empeze de vuelta con los pasos que me dijeron (exepto el Elimover claro)



Ejecute el Elistara y me aparecio un mensaje de que el troyano SpyRealteck fue eliminado :D

Con el el Elitriip no paso nada raro creo que no borro ningun anchirvo en el minilog que aparece abajo



[b]Aca esta el Infosat[/b]
[quote] Sat Feb 21 00:11:12 2009

EliTriIP v5.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9391

Nº Total de Ficheros: 109906

Nº de Ficheros Analizados: 17340

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0[/quote]

note que no limpio ningun fichero creo que porque es el log del Elitriip, con el Elistara me borro 4



[b]El SprocLoG no lo envio porque no entra en el post [quote]Su mensaje contiene 421063 caracteres. El máximo número de caracteres permitidos es 90000.[/quote] O.O[/b]



y cada vez que reinicio la compu el elistara me sigue tirando mensaje de que tengo un troyano. a pesar de dejarlo trabajar todas las veces.

[julibaga]

Reinicia en Modo seguro e intenta de nuevo.



No te dice que te falta el archivo Elinotif.dll ??

Si es así, bájalo de aquí

http://www.zonavirus.com/descargas/elinotif.asp

y ponlo en la misma carpeta que el Elistara.

[msc hotline sat]

Y ya que el informe del ELISTARA es muy grande (posiblementes tenas muchas entradas del O1 - HOSTS, que podrias borrar, pues son del SPYBOT) , puedes, o borrarlas, o adjuntar el fichero a tu proximo post, ya que es importante ver dicho informe, para no ir a ciegas como ha de hacer julibaga, quien con muy buen criterio te dice que bajes el ELINTOF.DLL en la misma carpeta donde tienes el ELISTARA.EXE , pues son complementarios, y tras ejecutar ELISTARA y reiniciar, es posible que se solucione el problema, pero vamos, conviene ver dicho informe, gracias



saludos



ms, 21-2-2009

[choma90]

[b]Ahora si aca esta el SprocLog[/b] le borre todo loe que era "o1 - Host [...]"



ya pude mandar el archivo para la muestra, en estos 2 dias justo me mude xD no se si erapor eso pero lña conexion de antes me andaba medio mal :p



y el archivo que te pide con el elistara ya lo tenia guardado de antes



Sat Feb 21 00:19:20 2009

SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: DESKTOP

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\D-TOOLS\DAEMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARES\ARES.EXE

C:\ARCHIVOS DE PROGRAMA\TASKSWITCHXP\TASKSWITCHXP.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\WINDOWS\SYSTEM32\CISVC.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EKRN.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\WINDOWS\SYSTEM32\CIDAEMON.EXE

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\WindowsXP.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,



O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {4B5051D3-23E1-4AFB-A1F6-E8583C44909F} - C:\WINDOWS\system32\iifgDuur.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Archivos de programa\Epson Software\Easy Photo Print\EPTBL.dll

O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Archivos de programa\Epson Software\Easy Photo Print\EPTBL.dll

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Administrador\Mis documentos\Tomas\antivirus\ELISTARA.C%D8%D8BB%D8%D8I.EXE

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1233045076453

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1233045063296

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

O23 - Service: epfw - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\epfw.sys

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys



Listado de Servicios (Carga Manual):

------------------------------------

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EHttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Personal Firewall (Epfwndis) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\Epfwndis.sys

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: npkcrypt - INCA Internet Co., Ltd. - D:\Lineage 2 (fruta)\system\npkcrypt.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



21 Servicios.

8 de Carga Automatica.

12 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

fALTAN PARCHES:



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2





Lanzar un windowsupdate e instalar el SP3 y demas críticos posteriores , como el MS08-067 y MS08-078







y prueba la utilidad ELISHELL:



http://www.zonavirus.com/descargas/elishell.asp







Y envianos estos ficheros sospechosos para analizar:



C:\WINDOWS\WindowsXP.exe



C:\WINDOWS\system32\iifgDuur.dll







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 23-2-2009

[msc hotline sat]

Recibidas las muestras para analizar, se detecta una nueva variante de VUNDO9 que pasamos a controlar cpon el ELISTARA de hoy 18.08



Es necesario que ademas se decargue el ELINOTIF.DLL para que dicha aplicacion lo pueda usar:


[quote]
[b] ELISTARA.EXE: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELINOTIF.DLL:[/b]

http://www.zonavirus.com/descargas/elinotif.asp



Descargue las dos en una misma carpeta y pruebe el ELISTARA, y tras reiniciar y posteenos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





salduos



ms, 24-2-2009

[choma90]

el elitonif ya lo tengo



el archivo para analizar iifgduur no aparece



ya mande el windowsXP.exe

[msc hotline sat]

Prueba de entrara en el ELIMOVER esta ruta y nombre de fichero:



C:\WINDOWS\system32\iifgDuur.dll





DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp







Si lo encuentra, marca que renom,bre el original a .VIR y nos envias la muestra



Si no lo encuentra, elimina la siguiente clave:



O2 - BHO: (no name) - {4B5051D3-23E1-4AFB-A1F6-E8583C44909F} - C:\WINDOWS\system32\iifgDuur.dll





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y mañana, cuando volvamos al trabajo en SATINFO, (aqui en España son mas de las 19 h y ahora ya está cerrado), analizaremos el WindowsXP.EXE y este otro si lo has enviado, e informaremos



saludos



ms, 24-2-2009

ref AR/BA-34.6-58.7

[choma90]

sepan disculpar mi enorme ignorancia pero como hago esto?


[quote]Si no lo encuentra, elimina la siguiente clave:



O2 - BHO: (no name) - {4B5051D3-23E1-4AFB-A1F6-E8583C44909F} - C:\WINDOWS\system32\iifgDuur.dll[/quote]

[julibaga]

Bájate el Hijackthis de aquí:

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Haces un Scan, seleccionas el objeto que te indica [b]msc hotline sat[/b] y presiona el botón "Fix Checked". HijackThis te preguntará si confirmas remover esos objetos. Presiona "Yes" o "No" dependiendo de tu elección.

[msc hotline sat]

Ya se indica al final del link que se daba, https://foros.zonavirus.com/viewtopic.php?f=5&t=14253 , el cual parece que no miró porque no nos consta haber recibido las muestras solicitadas ...



Reviselo y mire de enviar las muestras pedidas como allí se indica, gracias.



saludos



ms, 27-2-2009