este es mi log... me urgue por fa.

[fermin14_]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 06:44:19 p.m., on 15/06/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16850)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\pavsrv51.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsCtrls.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsImSvc.exe

C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\ApvxdWin.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\sm56hlpr.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\Archivos de programa\Yahoo!\Search Protection\SearchProtection.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\Nero\data\Xtras\mssysmgr.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\WebProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Windows Live\Toolbar\wltuser.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\psimreal.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:\\www.zonagamerz.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O1 - Hosts: 97.74.117.38 www.viabcp.com

O1 - Hosts: 97.74.117.38 viabcp.com

O1 - Hosts: 97.74.117.38 www.bcpzonasegura.viabcp.com

O1 - Hosts: 97.74.117.38 bcpzonasegura.viabcp.com

O1 - Hosts: 97.74.117.38 www.scotiabank.com.pe

O1 - Hosts: 97.74.117.38 scotiabank.com.pe

O1 - Hosts: 97.74.117.38 scotiaenlinea.scotiabank.com.pe

O1 - Hosts: 97.74.117.38 www.scotiaenlinea.scotiabank.com.pe

O1 - Hosts: 97.74.116.108 www.portalxd.com

O1 - Hosts: 97.74.116.108 portalxd.com

O1 - Hosts: 97.74.116.108 www.gamerzlove.com

O1 - Hosts: 97.74.116.108 gamerzlove.com

O1 - Hosts: 97.74.116.108 www.tux-hack.net

O1 - Hosts: 97.74.116.108 tux-hack.net

O1 - Hosts: 97.74.116.108 wwww.bloodzone.net

O1 - Hosts: 97.74.116.108 bloodzone.net

O1 - Hosts: 97.74.116.108 www.analea.com

O1 - Hosts: 97.74.116.108 analea.com

O1 - Hosts: 97.74.116.108 forospyware.com

O1 - Hosts: 97.74.116.108 www.forospyware.com

O1 - Hosts: 97.74.116.108 lukor.com

O1 - Hosts: 97.74.116.108 www.lukor.com

O1 - Hosts: 97.74.116.108 kioskea.net

O1 - Hosts: 97.74.116.108 www.google.com.pe

O1 - Hosts: 97.74.116.108 google.com.pe

O1 - Hosts: 97.74.116.108 www.kioskea.net

O1 - Hosts: 97.74.116.108 es.kioskea.net

O1 - Hosts: 97.74.116.108 norton.com

O1 - Hosts: 97.74.116.108 www.norton.com

O1 - Hosts: 97.74.116.108 safeweb.norton.com

O1 - Hosts: 97.74.116.108 wilkinsonpc.com.co

O1 - Hosts: 97.74.116.108 www.wilkinsonpc.com.co

O1 - Hosts: 97.74.116.108 comunidad.wilkinsonpc.com.co

O1 - Hosts: 97.74.116.108 chema999.wordpress.com

O1 - Hosts: 97.74.116.108 forosperu.net

O1 - Hosts: 97.74.116.108 www.forosperu.net

O1 - Hosts: 97.74.116.108 soporte.miarroba.com

O1 - Hosts: 97.74.116.108 configurarequipos.com

O1 - Hosts: 97.74.116.108 www.configurarequipos.com

O1 - Hosts: 97.74.116.108 vbhispano.com

O1 - Hosts: 97.74.116.108 www.vbhispano.com

O1 - Hosts: 97.74.116.108 es.answers.yahoo.com

O1 - Hosts: 97.74.116.108 9reyes.net

O1 - Hosts: 97.74.116.108 www.9reyes.net

O1 - Hosts: 97.74.116.108 hacksantana.com

O1 - Hosts: 97.74.116.108 www.hacksantana.com

O1 - Hosts: 97.74.116.108 trucoswindows.net

O1 - Hosts: 97.74.116.108 www.trucoswindows.net

O1 - Hosts: 97.74.116.108 atevip.net

O1 - Hosts: 97.74.116.108 atrapadoz.com

O1 - Hosts: 97.74.116.108 bateriaseria.biz

O1 - Hosts: 97.74.116.108 bateriaseria.info

O1 - Hosts: 97.74.116.108 bateriafina.org

O1 - Hosts: 97.74.116.108 bateriaseria.net

O1 - Hosts: 97.74.116.108 bautizame.org

O1 - Hosts: 97.74.116.108 buenamusica.com

O1 - Hosts: 97.74.116.108 caidos.net

O1 - Hosts: 97.74.116.108 caleta.com.pe

O1 - Hosts: 97.74.116.108 caleta.tk

O1 - Hosts: 97.74.116.108 nuevaq.net

O1 - Hosts: 97.74.116.108 callevip.com

O1 - Hosts: 97.74.116.108 enladisco.com

O1 - Hosts: 97.74.116.108 fulltono.com

O1 - Hosts: 97.74.116.108 musica.com

O1 - Hosts: 97.74.116.108 thedaniex.com

O1 - Hosts: 97.74.116.108 trikool.com.pe

O1 - Hosts: 97.74.116.108 unvicio.net

O1 - Hosts: 97.74.116.108 yumusica.com

O1 - Hosts: 97.74.116.108 zonamusical.net

O1 - Hosts: 97.74.116.108 cholotube.com

O1 - Hosts: 97.74.116.108 macizorras.com

O1 - Hosts: 97.74.116.108 quevideos.com

O1 - Hosts: 97.74.116.108 videosgratis.tv

O1 - Hosts: 97.74.116.108 guiaporno.com

O1 - Hosts: 97.74.116.108 unaspajas.com

O1 - Hosts: 97.74.116.108 videosgratis.net

O1 - Hosts: 97.74.116.108 cuantosexo.com

O1 - Hosts: 97.74.116.108 marqueze.net

O1 - Hosts: 97.74.116.108 iberporno.com

O1 - Hosts: 97.74.116.108 muyzorras.com

O1 - Hosts: 97.74.116.108 viendosexo.com

O1 - Hosts: 97.74.116.108 petardas.com

O1 - Hosts: 97.74.116.108 babosas.com

O1 - Hosts: 97.74.116.108 redtube.com

O1 - Hosts: 97.74.116.108 pornhub.com

O1 - Hosts: 97.74.116.108 pornotube.com

O1 - Hosts: 97.74.116.108 xvideos.com

O1 - Hosts: 97.74.116.108 www.atevip.net

O1 - Hosts: 97.74.116.108 www.atrapadoz.com

O1 - Hosts: 97.74.116.108 www.bateriaseria.biz

O1 - Hosts: 97.74.116.108 www.bateriaseria.info

O1 - Hosts: 97.74.116.108 www.bateriafina.org

O1 - Hosts: 97.74.116.108 www.bateriaseria.net

O1 - Hosts: 97.74.116.108 www.bautizame.org

O1 - Hosts: 97.74.116.108 www.buenamusica.com

O1 - Hosts: 97.74.116.108 www.caidos.net

O1 - Hosts: 97.74.116.108 www.caleta.com.pe

O1 - Hosts: 97.74.116.108 www.caleta.tk

O1 - Hosts: 97.74.116.108 www.nuevaq.net

O1 - Hosts: 97.74.116.108 www.callevip.com

O1 - Hosts: 97.74.116.108 www.enladisco.com

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [YSearchProtection] "C:\Archivos de programa\Yahoo!\Search Protection\SearchProtection.exe"

O4 - HKLM\..\Run: [iexplore] iexplorer.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\ARCHIV~1\Nero\data\Xtras\mssysmgr.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [YSearchProtection] C:\Archivos de programa\Yahoo!\Search Protection\SearchProtection.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\CCleaner.exe" /AUTO

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-mx\msntabres.dll.mui/229?831319b3a66a4f15aee7f55eb5b83f8c

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-mx\msntabres.dll.mui/230?831319b3a66a4f15aee7f55eb5b83f8c

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=27986

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsCtrls.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\pavsrv51.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsImSvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe



--

End of file - 14187 bytes

[msc hotline sat]

De entrada vemos :



Platform: Windows XP SP2 (WinNT 5.01.2600)



Le faltan un montón de parches, los 1073 del SP3 y posteriores.



Lance un windowsupdate e instale los que esta utilidad encuentre a faltar.







y tiene en el HOSTS muchas entradas maliciosas que redirigen su navegación a esta IP : 97.74.116.108



que resulta estar asignada a :



97.74.116.108 US United States AZ Arizona Scottsdale 85260 33.6119 -111.8907 GoDaddy.com GoDaddy.com 753 480



De ello hay información en http://www.threatexpert.com/report.aspx?md5=a4e1fb969f786c8ba527468b5e344735





En consecuencia, elimine estas claves:



O1 - Hosts: 97.74.117.38 http://www.viabcp.com

O1 - Hosts: 97.74.117.38 viabcp.com

O1 - Hosts: 97.74.117.38 http://www.bcpzonasegura.viabcp.com

O1 - Hosts: 97.74.117.38 bcpzonasegura.viabcp.com

O1 - Hosts: 97.74.117.38 http://www.scotiabank.com.pe

O1 - Hosts: 97.74.117.38 scotiabank.com.pe

O1 - Hosts: 97.74.117.38 scotiaenlinea.scotiabank.com.pe

O1 - Hosts: 97.74.117.38 http://www.scotiaenlinea.scotiabank.com.pe

O1 - Hosts: 97.74.116.108 http://www.portalxd.com

O1 - Hosts: 97.74.116.108 portalxd.com

O1 - Hosts: 97.74.116.108 http://www.gamerzlove.com

O1 - Hosts: 97.74.116.108 gamerzlove.com

O1 - Hosts: 97.74.116.108 http://www.tux-hack.net

O1 - Hosts: 97.74.116.108 tux-hack.net

O1 - Hosts: 97.74.116.108 wwww.bloodzone.net

O1 - Hosts: 97.74.116.108 bloodzone.net

O1 - Hosts: 97.74.116.108 http://www.analea.com

O1 - Hosts: 97.74.116.108 analea.com

O1 - Hosts: 97.74.116.108 forospyware.com

O1 - Hosts: 97.74.116.108 http://www.forospyware.com

O1 - Hosts: 97.74.116.108 lukor.com

O1 - Hosts: 97.74.116.108 http://www.lukor.com

O1 - Hosts: 97.74.116.108 kioskea.net

O1 - Hosts: 97.74.116.108 http://www.google.com.pe

O1 - Hosts: 97.74.116.108 google.com.pe

O1 - Hosts: 97.74.116.108 http://www.kioskea.net

O1 - Hosts: 97.74.116.108 es.kioskea.net

O1 - Hosts: 97.74.116.108 norton.com

O1 - Hosts: 97.74.116.108 http://www.norton.com

O1 - Hosts: 97.74.116.108 safeweb.norton.com

O1 - Hosts: 97.74.116.108 wilkinsonpc.com.co

O1 - Hosts: 97.74.116.108 http://www.wilkinsonpc.com.co

O1 - Hosts: 97.74.116.108 comunidad.wilkinsonpc.com.co

O1 - Hosts: 97.74.116.108 chema999.wordpress.com

O1 - Hosts: 97.74.116.108 forosperu.net

O1 - Hosts: 97.74.116.108 http://www.forosperu.net

O1 - Hosts: 97.74.116.108 soporte.miarroba.com

O1 - Hosts: 97.74.116.108 configurarequipos.com

O1 - Hosts: 97.74.116.108 http://www.configurarequipos.com

O1 - Hosts: 97.74.116.108 vbhispano.com

O1 - Hosts: 97.74.116.108 http://www.vbhispano.com

O1 - Hosts: 97.74.116.108 es.answers.yahoo.com

O1 - Hosts: 97.74.116.108 9reyes.net

O1 - Hosts: 97.74.116.108 http://www.9reyes.net

O1 - Hosts: 97.74.116.108 hacksantana.com

O1 - Hosts: 97.74.116.108 http://www.hacksantana.com

O1 - Hosts: 97.74.116.108 trucoswindows.net

O1 - Hosts: 97.74.116.108 http://www.trucoswindows.net

O1 - Hosts: 97.74.116.108 atevip.net

O1 - Hosts: 97.74.116.108 atrapadoz.com

O1 - Hosts: 97.74.116.108 bateriaseria.biz

O1 - Hosts: 97.74.116.108 bateriaseria.info

O1 - Hosts: 97.74.116.108 bateriafina.org

O1 - Hosts: 97.74.116.108 bateriaseria.net

O1 - Hosts: 97.74.116.108 bautizame.org

O1 - Hosts: 97.74.116.108 buenamusica.com

O1 - Hosts: 97.74.116.108 caidos.net

O1 - Hosts: 97.74.116.108 caleta.com.pe

O1 - Hosts: 97.74.116.108 caleta.tk

O1 - Hosts: 97.74.116.108 nuevaq.net

O1 - Hosts: 97.74.116.108 callevip.com

O1 - Hosts: 97.74.116.108 enladisco.com

O1 - Hosts: 97.74.116.108 fulltono.com

O1 - Hosts: 97.74.116.108 musica.com

O1 - Hosts: 97.74.116.108 thedaniex.com

O1 - Hosts: 97.74.116.108 trikool.com.pe

O1 - Hosts: 97.74.116.108 unvicio.net

O1 - Hosts: 97.74.116.108 yumusica.com

O1 - Hosts: 97.74.116.108 zonamusical.net

O1 - Hosts: 97.74.116.108 cholotube.com

O1 - Hosts: 97.74.116.108 macizorras.com

O1 - Hosts: 97.74.116.108 quevideos.com

O1 - Hosts: 97.74.116.108 videosgratis.tv

O1 - Hosts: 97.74.116.108 guiaporno.com

O1 - Hosts: 97.74.116.108 unaspajas.com

O1 - Hosts: 97.74.116.108 videosgratis.net

O1 - Hosts: 97.74.116.108 cuantosexo.com

O1 - Hosts: 97.74.116.108 marqueze.net

O1 - Hosts: 97.74.116.108 iberporno.com

O1 - Hosts: 97.74.116.108 muyzorras.com

O1 - Hosts: 97.74.116.108 viendosexo.com

O1 - Hosts: 97.74.116.108 petardas.com

O1 - Hosts: 97.74.116.108 babosas.com

O1 - Hosts: 97.74.116.108 redtube.com

O1 - Hosts: 97.74.116.108 pornhub.com

O1 - Hosts: 97.74.116.108 pornotube.com

O1 - Hosts: 97.74.116.108 xvideos.com

O1 - Hosts: 97.74.116.108 http://www.atevip.net

O1 - Hosts: 97.74.116.108 http://www.atrapadoz.com

O1 - Hosts: 97.74.116.108 http://www.bateriaseria.biz

O1 - Hosts: 97.74.116.108 http://www.bateriaseria.info

O1 - Hosts: 97.74.116.108 http://www.bateriafina.org

O1 - Hosts: 97.74.116.108 http://www.bateriaseria.net

O1 - Hosts: 97.74.116.108 http://www.bautizame.org

O1 - Hosts: 97.74.116.108 http://www.buenamusica.com

O1 - Hosts: 97.74.116.108 http://www.caidos.net

O1 - Hosts: 97.74.116.108 http://www.caleta.com.pe

O1 - Hosts: 97.74.116.108 http://www.caleta.tk

O1 - Hosts: 97.74.116.108 http://www.nuevaq.net

O1 - Hosts: 97.74.116.108 http://www.callevip.com

O1 - Hosts: 97.74.116.108 http://www.enladisco.com







o bien borre dichas líneas del fichero HOSTS (está en c:\windows\system32\drivers\etc\HOSTS)



y envienos este fichero para analizar:



iexplorer.exe



suponemos que estará en c:\windows\system32\ , pero cuando lo busque fijese que empiece por I y termine con R , ya que los normales de windows son EXPLORER e IEXPLORE , pero este tiene un nombre que lo delata...



por lo que, ademas, ya puede eliminar también esta clave que lo lanza:



O4 - HKLM\..\Run: [iexplore] iexplorer.exe





Una vez lo recibamos, veremos qué le ha modificado en el registro e implementaremos su control, eliminación y restauración de las claves modificadas, en nuestras utilidades, de lo cual informaremos.



recordar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 16-6-2009







NOTA: y si no usa ningun proxy voluntariamente, elimine ademas esta clave:



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local





y como que creo que no es voluntaria su pagina de inicio, elimine tambien esta otra:



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:\\www.zonagamerz.com





y mientras recibimnos la muestra y la analizamos y demas, ponga la siguiente cadena en el ELIMD5



A4E1FB969F786C8BA527468B5E344735



y nos envia los ficheros que con ello se muevan a C:\muestras , pues parece que realmente se ha infectado con un troyano...



para descargar el ELIMD5 :

http://www.zonavirus.com/descargas/elimd5.asp



ms.

[fermin14_]

asi quedo despues de poner la clave en elimd5



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:09:29 a.m., on 16/06/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16850)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\pavsrv51.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsCtrls.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsImSvc.exe

C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\ApvxdWin.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\sm56hlpr.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\Archivos de programa\Yahoo!\Search Protection\SearchProtection.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\Nero\data\Xtras\mssysmgr.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\WebProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Windows Live\Toolbar\wltuser.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [YSearchProtection] "C:\Archivos de programa\Yahoo!\Search Protection\SearchProtection.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\ARCHIV~1\Nero\data\Xtras\mssysmgr.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [YSearchProtection] C:\Archivos de programa\Yahoo!\Search Protection\SearchProtection.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\CCleaner.exe" /AUTO

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [HijackThis startup scan] C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe /startupscan

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-mx\msntabres.dll.mui/229?831319b3a66a4f15aee7f55eb5b83f8c

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-mx\msntabres.dll.mui/230?831319b3a66a4f15aee7f55eb5b83f8c

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=27986

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsCtrls.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\pavsrv51.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsImSvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe



--

End of file - 9773 bytes





el de iexplorer.exe no lo encontre ahi uno que es iexplore.exe pero el otro no lo encontre



lo de el envio de muestras como soy nuevo en esto no encontre la carpeta.

y muchas gracias por la ayuda quie me estas dando

[msc hotline sat]

El EliMD5 es para localizar ficheros que cumplan dicha cadena y moverlos a C:\muestras para poderlos enviar



Mire si tiene algo en C:\muestras\ y diganoslo



saludos



ms, 16-6-2009









NOTA y tras los cambios en el registro, diganos si, tras reiniciar, persisten las anomalias, gracias ms.



-aun vemos R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local .,.. es voluntario este proxy ??? -

[fermin14_]

asi queda despues de introducir la cadena al elimd5



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 06:31:19 p.m., on 19/06/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\pavsrv51.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\AVENGINE.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsCtrls.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsImSvc.exe

C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\Archivos de programa\Yahoo!\Search Protection\SearchProtection.exe

C:\Archivos de programa\Archivos comunes\System\services.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Windows Live\Toolbar\wltuser.exe

C:\WINDOWS\system32\wscntfy.exe

C:\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:\\www.zonagamerz.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [YSearchProtection] "C:\Archivos de programa\Yahoo!\Search Protection\SearchProtection.exe"

O4 - HKLM\..\Run: [Windows Update] C:\Archivos de programa\Archivos comunes\System\services.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-mx\msntabres.dll.mui/229?831319b3a66a4f15aee7f55eb5b83f8c

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-mx\msntabres.dll.mui/230?831319b3a66a4f15aee7f55eb5b83f8c

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase1140.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=27986

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsCtrls.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\pavsrv51.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsImSvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe



--

End of file - 8714 bytes



y no encontre la carpeda de muestras mas que el archivo que te mando que aparecio despues de elimd5



gracias saludos

bye

[msc hotline sat]

El que adjunta podía haberlo posteado con un copiar y pegar ... :





Fri Jun 19 18:03:01 2009

EliMD5 v1.3 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4192

Nº Total de Ficheros: 35798

Nº de Ficheros Analizados: 26080

Nº de Ficheros Detectados: 0

Nº de Ficheros Eliminados: 0



No es completo, falta el analisis por ACCION DIRECTA que hay siempre antes del de EXPLORACION...





y del log del HJT vemos que siguen faltando los parches que ya le decíamos...


[quote="msc"]
De entrada vemos :



Platform: Windows XP SP2 (WinNT 5.01.2600)



Le faltan un montón de parches, los 1073 del SP3 y posteriores.



Lance un windowsupdate e instale los que esta utilidad encuentre a faltar.


[/quote]



y además vemos que tiene este irregular, ya que aunque con nombre correcto, su ubicacion no lo es, y podria ser un troyano:



C:\Archivos de programa\Archivos comunes\System\services.exe



envianloslo para analizar, y de momento añadele .VIR a su extension, para que no se cargue a partir del proximo reinicio.





>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion,



si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 20-6-2009