Problema envio mails con adjuntos

[BaDeD]

Hola!



Lo primero de todo queria daros las gracias por brindarnos vuestro tiempo en estas ayudas.



Os expongo mi problema, desde la semana pasada vengo teniendo problemas para poder enviar correos con archivos adjuntos desde cualquier gestor de correos, despues de verificar millones de veces las configuraciones, llame a telefonica que es mi proveedor de servicios y me llevo la sorpresa de que me habian bloqueado el puerto 25, despues de decirme que me lo iban a desbloquear y creyendo que ya estaba solucionado, me dispongo a mandar un correo con archivo adjunto y me llevo la sorpresa que sigue pasando lo mismo, hago la misma prueba en mi portatil que hasta el momento me pasaba lo mismo y me envia sin ningun problema. Ya no se que mas hacer ya que tambien desde la semana pasada he notado que el ordenador no me va del todo bien. Les pego el log para ver si hay alguna cosa rara en el:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:45:18, on 14/10/2009

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\hidserv.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Archivos de programa\Archivos comunes\supportsoft\bin\sprtlisten.exe

C:\Archivos de programa\Spyware Terminator\sp_rsser.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\Documents and Settings\Administrador\wkki.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\Archivos de programa\Spyware Terminator\SpywareTerminatorShield.exe

C:\Archivos de programa\Microsoft ActiveSync\Wcescomm.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSuite.exe

C:\Archivos de programa\Magic Keyboard\MagicKey.exe

C:\ARCHIV~1\MI3AA1~1\rapimgr.exe

C:\Archivos de programa\Magic Keyboard\OSD.EXE

C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

C:\Archivos de programa\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Archivos de programa\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy_server:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\Documents and Settings\Administrador\wkki.exe \s

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARCHIV~1\Crawler\ctbr.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Barra &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\ARCHIV~1\Crawler\ctbr.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Client Access Service] C:\Archivos de programa\IBM\Client Access\cwbsvstr.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [nnd] C:\WINNT\system32\nnd.exe \u

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Archivos de programa\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\Wcescomm.exe"

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray

O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINNT\system32\Adobe\Shockwave 11\SwHelper_1150595.exe -Update -1150595 -"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)" -"http://www.mundijuegos.com/juegos/juego.php?juego=5&sala=3"

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Archivos de programa\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Global Startup: Magic Keyboard.lnk = C:\Archivos de programa\Magic Keyboard\MagicKey.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: VPN Client.lnk = C:\Archivos de programa\Cisco Systems\VPN Client\vpngui.exe

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Archivos de programa\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O10 - Unknown file in Winsock LSP: c:\winnt\system32\07a575qqtnkl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\07a575qqtnkl.dll

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - https://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/es/scan8/oscan8.cab

O16 - DPF: {5ED10D68-AC1F-40E0-A1DE-2ED9C2BBF7FD} (tim) - http://172.35.1.95/Postventa/postventa.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232450574734

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210070913015

O16 - DPF: {83149159-2B59-4979-B49C-1C765F77DDAD} (Componentes Interacciona y Configurables) - http://172.35.1.95/Postventa/componentes.cab

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://puntos.dgt.es/conductores_cert_cpp/pag/capicom.cab

O16 - DPF: {B6F0855B-A06D-498B-A537-80AFF04A1B4E} (WSClientCtl Class) - https://www.telefonicaonline.com/o1/http/WSClient.cab

O16 - DPF: {BCBF3856-68F9-4FEE-ADA0-9D8D255B9F24} - https://empresas.gruposantander.es/bsch/gestion/suite/descarga/paquetes/instalacion/ligera/TransfChequesLight.cab

O16 - DPF: {CC6DA43F-321C-4AF5-82EE-B4FFE428CECC} (SwingALL) - http://172.35.1.95/Postventa/swingall.cab

O16 - DPF: {D44987FB-48A3-4E77-B0C7-8BBD88E850A6} (Paquetes PDF) - http://172.35.1.95/Postventa/pdf.cab

O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://mppv2flash3.valueactive.com/Unibet/FlashAX.cab

O16 - DPF: {F2E6E5F4-5EBA-443B-8710-0AE39D46DD20} - http://172.35.1.95/Postventa/tim.cab

O16 - DPF: {FA971B6F-FD49-4BE3-9760-F030E7BC56E1} (webPLATEA) - http://172.35.1.95/Postventa/webplatea.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6B876E9E-B94E-472C-BBC6-032C489C5131}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\ARCHIV~1\Crawler\ctbr.dll

O21 - SSODL: lPxpCdKguw - {31501BF2-9BFA-B158-75BA-D084623E10CB} - C:\WINNT\system32\eyjosf.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: iSeries Access for Windows Remote Command (Cwbrxd) - IBM Corporation - C:\WINNT\cwbrxd.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SupportSoft Listener Service (sprtlisten) - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\sprtlisten.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Archivos de programa\Spyware Terminator\sp_rsser.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe



--

End of file - 9188 bytes



Muchas gracias nuevamente por vuestro tiempo.

Un saludo.

[msc hotline sat]

Pues todo apunta a que el rango de IP's que usa está en la lista negra debido a envio de mails masivos, por Vd o por otro usuario que opera en el mismo rango.





De entrada vamos a ver estos ficheros sospechosos que tiene en el ordenaador:



C:\Documents and Settings\Administrador\wkki.exe



C:\WINNT\system32\nnd.exe



c:\winnt\system32\07a575qqtnkl.dll



C:\WINNT\system32\eyjosf.dll





Envienoslas para analizar









[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos









y tras ello , lance el LSPFix para corregir claves al respecto:



[url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp][b]Manual LSP-Fix[/b][/url]



[url=http://www.zonavirus.com/descargas/lsp-fix.asp][b]Descargar LSP-Fix[/b][/url]





Y a la vista de las muestras, las analizaremos e informaremos



saludos



ms, 14-10-2009

[BaDeD]

Muchas gracias.



Ya se han enviado los ficheros excepto estos dos:



C:\WINNT\system32\nnd.exe Que no le encuentro.

C:\WINNT\system32\eyjosf.dll No me deja comprimirlo ya que dice que esta siendo utilizado por otro programa. Intentare ver si desde a modo a prueba de errores me dejara comprimirlo y se lo mandaria.



A parte de estos archivos en el caso de que el rando de mis ips esten en lista negra ¿ Que puedo hacer para poder solucionarlo ? Me imagino que tendria que poner una ip distinta a la que tengo.



Muchas gracias.

Un saludo.

[msc hotline sat]

El Centro Nemesis de Telefonica libera el port SMTP 25 cuando se les dice que ya han detectado y eliminado el problema. Pero se ha de hacer, claro :)



Lo malo es que a veces no es culpa de uno sino de otro que está en el mismo rango, y ello es peor.



En tal caso (y nos ha pasado a nosotros) es recomendable pasar a una IP fija pero de disntinto rango o proveedor, para no tener este problema, especialmente si no es telefonica quien les corta el SMTP 25 sino los servidores de correo de sus destinatarios, que cortan el acceso de los mails que vienen de IP en lista negra ...



Pero vamos a ver los ficheros que recibiremos esta tarde (estan en cola los de esta mañana, pero voy a ver si han entrado los suyos para darles un empujón), y si descubrimos en ellos rutinas víricas, lo primero será solucionarlo, y cuando los monitoricemos veremos lo que son e informaremos.



saludos



ms, 14-10-2009

[msc hotline sat]

Sí, Vd tenía parte de culpa :)



Mejor, a ver si eliminandolo le devuelven la normalidad:



Preanalizados los que hemos recibido suyos, vemos:



07a575qqtnkl.dll es un MESPAM, que probablemente envia correo masivo a sus contactos...





y el otro , el wkki.exe, es un Backdoor (Packspam), puede estar relacionado...





A los dos añadales extensión.VIR para que tras reiniciar ya no se pongan en uso.





Estos los monitorizaremos e implementaremos su control y eliminacion en la proxima versión del ELISTARA, pero había mas... que no hemos recibido.





Procure enviarnoslos sino puede quedarse a medias :?



saludos



ms, 14-10-2009

[msc hotline sat]

fIJARSE QUE EL NND.EXE ES CARGADO CON LA OPCION /u EN O4 - HKLM\..\Run: [nnd] C:\WINNT\system32\nnd.exe \u





Y EL OTRO EN O21 - SSODL: lPxpCdKguw - {31501BF2-9BFA-B158-75BA-D084623E10CB} - C:\WINNT\system32\eyjosf.dll



Si no los visualiza, pueden estar ocultos o escondidos, trate de copiarlos a C:\muestras con el ELIMOVER, arrancando en modo seguro y entrandole respectivamente



C:\WINNT\system32\nnd.exe



C:\WINNT\system32\eyjosf.dll




[quote]DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp[/quote]

y marcar la casilla inferior izquierda para añadir .VIR a los origfinales de dichos ficheros. Tras ello nos envian los movidos a C:\muestras, como ya saben



saludos



ms, 14-10-2009

[msc hotline sat]

Visto que el wkki es una variante del Backdoor DPF que ya controlamos con el ELITRIIP, lo añadimos en la version de hoy de dicha utilidad



Y la DLL ya veremos :)



seguiremos informando

[BaDeD]

Ya he conseguido comprimir el eyjosf y se lo he enviado como muestra, he bajado el elimover y puesto la ruta del archivo nnd.exe y no encuentra tampoco el archivo, tengo marcada la configuracion para que se vean los archivos ocultos pero no aparece por ningun lado.



Una vez habia renovado los archivos de spam a la extension vir he reiniciado el ordenador y no tiene conexion con internet,desde donde escribo ahora es desde el portatil con conexion wifi.



Muchas gracias.

Un saludo.

[msc hotline sat]

La DLL no la teniamos bautizada, asi que le llamaremos MESPAM como otros varios, y la pasamos a controlar con el ELISTARA de hoy





A partir de las 19 h descarga las dos nuevas versiones de ELISTARA y ELITRIIP, y tras probarlas nos posteas el informe resultante


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp





Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estarán disponibles en esta web, para pruebas de evaluacion en el foro de zonavirus





Y voy a ver si nos da tiempo hoy de monitorizar esta que dices que nos acabas de enviar...



saludos



ms, 14-10-2009

[msc hotline sat]

El último que has enviado se ve que en un downloader, pero no sé si va a dar tiempo de monitorizarlo hoy



En cualquier caso, añade .VIR a su extension, para dejarlo fuera de circulacion a partir del proximo reinicio



Y si no es con el ELISTARA de hoy se controlará con el mañana, no se puede hacer mas !



saludos



ms, 14-10-2009









NOTA: Y recuerda lanzar el LPSFIX que te hemos indicado anteriormente, pues hay entrada a corregir en el LSP. ms.

[BaDeD]

Muchas gracias.



Ya le habia cambiado la extension a .VIR para intentar no tener problemas.



El problema que me ha surgido ahora es que me ha dejado el pc sin internet.



Un saludo.

[msc hotline sat]

Es por el LSP, claro !



vuelve a dejar el 07a575qqtnkl.dll sin el .VIR al final, y lanza el LSPFIX.



saludos



ms, 14-10-2009

[BaDeD]

Exactamente era por el LSP, he hecho lo que me comentaba y todo ha vuelto a la normalidad, incluido el envio de correos con archivos adjuntos, al menos de momento.



Muchas gracias.

Un saludo.

[lucl]

Pero pasastes elistara y elitriip como te ha ido indicando Msc? Si lo hiciste peganos por favor el log de infosat.txt que tendras en C y si no pasalos para que termine de hacerte limpieza, y nos pegas el log igualmente saludos.

[msc hotline sat]

Exactamente, el LSP era solo por el 07a575qqtnkl.dll , pero tenías mas historias, y aunque se haya arreglado en parte, no es el todo.



Tras probar las utilidades que te indiqué, posteanos el contenido de c:\infosat.txt , gracias



saludos



ms, 15-10-2009

[BaDeD]

No me dio tiempo a pasar los programas que me pusisteis, hoy ha sido fiesta aqui y mañana cuando vaya a la oficina me los descargo y los paso y os mando el archivo.



Un saludo.

[msc hotline sat]

Si claro, Santa Teresa de Avila ...



Pues hasta mañana, sobre todo prueba las ultmas versiones subidas a esta web, y nos posteas el informe resultante, gracias



saludos



ms, 15-10-2009

[BaDeD]

Buenos dias,



enviado el archivo solicitado despues de pasar los programas, lo he comprimido y puesto la contraseña virus.



Un saludo.

[BaDeD]

Os he enviado tambien el archivo txt despues del reinicio comprimido y con la contraseña virus.



Muchas gracias.

Un saludo.

[julibaga]

Postea el contenido del archivo [b]c:\infosat.txt[/b], en tu siguiente post para ver los resultados.

Y para ver los procesos bájate el [b][url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url][/b] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.

[BaDeD]

Ahi va el contenido del infosat.txt:





(14-10-2009 15:29:35)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINNT\system32\eyjosf.dll" -> Copiado a "C:\Muestras"

Fichero: "C:\WINNT\system32\eyjosf.dll" -> Renombrado a .VIR



(16-10-2009 8:23:30 (GMT))

EliStartPage v19.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\WEB\RELATED.HTM --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\CTBR.DLL.Muestra EliStartPage v19.46

a "virus@satinfo.es". Gracias.

C:\ARCHIV~1\CRAWLER\CTBR.DLL --> Renombrado a .VIR

C:\WINNT\SYSTEM32\KR_DONE1 --> Eliminado (Fichero Complementario).

Eliminada Class, "{183643C8-EE67-4574-9A38-927852E34163}" -> NULL1

Eliminada Class, "{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}" -> C:\ARCHIV~1\Crawler\ctbr.dll

Eliminada Class, "{4B3803EA-5230-4DC3-A7FC-33638F3D3542}" -> C:\ARCHIV~1\Crawler\ctbr.dll

Eliminada Class, "{4D25FB7A-8902-4291-960E-9ADA051CFBBF}" -> C:\ARCHIV~1\Crawler\ctbr.dll

Eliminada Class, "{54ECA872-DB2A-4C6B-BBB2-F3777C6786CC}" -> NULL1

Eliminada Class, "{8736C681-37A0-40C6-A0F0-4C083409151C}" -> NULL1

Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"

Eliminado , Installed Components "{CC2A9BA0-3BDD-11D0-821E-444553540000}"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

ALERTA. WindowsUpdate Incompleto.

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (F)

open=EXPLORER.EXESi Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Reinicie para Completar la Limpieza.



(16-10-2009 8:34:06 (GMT))

EliStartPage v19.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

ALERTA. WindowsUpdate Incompleto.

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Detectado AUTORUN.INF en la Unidad (F)

open=EXPLORER.EXESi Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



(16-10-2009 8:34:35 (GMT))

EliStartPage v19.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINNT\system32\07A575QQTNKL.DLL --> Eliminado, Mespam.G

C:\WINNT\system32\EYJOSF.DLL.VIR --> Eliminado, DownLoader.Agent.FJF

C:\Muestras\EYJOSF.DLL.MUESTRA ELIMOVER V1.1 --> Eliminado, DownLoader.Agent.FJF



Nº Total de Directorios: 5721

Nº Total de Ficheros: 66544

Nº de Ficheros Analizados: 16638

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



(16-10-2009 8:44:15) (GMT)

EliTriIP v6.18 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "SCardDrv"

Eliminado Servicio, "SCardSvr"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

ALERTA. WindowsUpdate Incompleto.

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(16-10-2009 8:44:37) (GMT)

EliTriIP v6.18 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Administrador\wkki.vir --> Eliminado, BackDoor.DPF



Nº Total de Directorios: 5256

Nº Total de Ficheros: 62703

Nº de Ficheros Analizados: 14584

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(16-10-2009 9:15:22 (GMT))

EliStartPage v19.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

ALERTA. WindowsUpdate Incompleto.

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Detectado AUTORUN.INF en la Unidad (F)

open=EXPLORER.EXESi Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



(16-10-2009 9:15:36 (GMT))

EliStartPage v19.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5259

Nº Total de Ficheros: 62702

Nº de Ficheros Analizados: 16330

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Te faltan varios parches importantes que debes actualizar con windows update y debes enviarnos lo que tienes en C en la carpeta muestras , empaquetalo con winrar y ponle de contraseña la palabra virus . Arriba a la derecha tienes el boton de envio muestras saludos.

[julibaga]

Pues sí que hizo su faena el Elistara. Falta que pases el Sproces para ver si quedó algo más, aparte de las actualizaciones que debes hacer y comenta cómo te resultó.

[BaDeD]

El windows update me dice que no tengo ninguna actualizacion para instalar.



Saludos.

[msc hotline sat]

Pues fijate que se te pide :



Por favor, envienos una muestra del fichero

C:\Muestras\CTBR.DLL.Muestra EliStartPage v19.46



y



Detectado AUTORUN.INF en la Unidad (F)

open=EXPLORER.EXESi Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF







asi que envianos el CTBR.DLL de C:\muestras y estos F:\EXPLORER.EXE y el F:\AUTORUN.INF





y posteanos el informe del SPROCES, A VER COMO HA QUEDADO EL REGISTRO Y DEMAS, GRACIAS







[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 16-10-2009







Y NO ENVIES INFORMES .TXT a zonavirus@satinfo.es ... https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



estos siempre postealos en el foro, gracias. ms.

[BaDeD]

Enviados a muestras los archivos solicitados y pego el log del sproces:



(16-10-2009 15:35:32 GMT)

SProces v4.1 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows 2000 (v5.0.2195) Service Pack 4

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v6.0.2800.1106) ;SP1;

Nombre Equipo: ASEFITO01

Nombre Usuario: Administrador



Procesos Activos:

C:\WINNT\SYSTEM32\SMSS.EXE

C:\WINNT\SYSTEM32\WINLOGON.EXE

C:\WINNT\SYSTEM32\SERVICES.EXE

C:\WINNT\SYSTEM32\LSASS.EXE

C:\WINNT\SYSTEM32\SVCHOST.EXE

C:\WINNT\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\CISCO SYSTEMS\VPN CLIENT\CVPND.EXE

C:\WINNT\SYSTEM32\SVCHOST.EXE

C:\WINNT\SYSTEM32\HIDSERV.EXE

C:\WINNT\SYSTEM32\REGSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SUPPORTSOFT\BIN\SPRTLISTEN.EXE

C:\ARCHIVOS DE PROGRAMA\SPYWARE TERMINATOR\SP_RSSER.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\WINNT\SYSTEM32\STISVC.EXE

C:\WINNT\SYSTEM32\WBEM\WINMGMT.EXE

C:\WINNT\SYSTEM32\MSPMSPSV.EXE

C:\WINNT\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.5.0_06\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\SPYWARE TERMINATOR\SPYWARETERMINATORSHIELD.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT ACTIVESYNC\WCESCOMM.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\NOKIA PC SUITE 6\PCSUITE.EXE

C:\ARCHIV~1\MI3AA1~1\RAPIMGR.EXE

C:\ARCHIVOS DE PROGRAMA\MAGIC KEYBOARD\MAGICKEY.EXE

C:\ARCHIVOS DE PROGRAMA\MAGIC KEYBOARD\OSD.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\SERVICELAYER.EXE

C:\ARCHIVOS DE PROGRAMA\CISCO SYSTEMS\VPN CLIENT\VPNGUI.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLUSBSRV.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLRSSRV.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA THUNDERBIRD\THUNDERBIRD.EXE

C:\ARCHIVOS DE PROGRAMA\IBM\CLIENT ACCESS\EMULATOR\PCSWS.EXE

C:\ARCHIVOS DE PROGRAMA\IBM\CLIENT ACCESS\EMULATOR\PCSCM.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.5.0_06\BIN\JUCHECK.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINNT\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\NUEVA CARPETA\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy_server:8080 (0)

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\Wcescomm.exe"

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray

O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINNT\system32\Adobe\Shockwave 11\SwHelper_1150595.exe -Update -1150595 -"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)" -"http://www.mundijuegos.com/juegos/juego.php?juego=5&sala=3"

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Client Access Service] C:\Archivos de programa\IBM\Client Access\cwbsvstr.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Archivos de programa\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - Global Startup: Magic Keyboard.lnk

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: VPN Client.lnk

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Archivos de programa\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O16 - DPF: DirectAnimation Java Classes - file://C:\WINNT\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINNT\Java\classes\xmldso.cab

O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - https://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} - http://download.microsoft.com/download/D/0/D/D0DD87DA-994F-4334-8B55-AF2E4D98ED0C/wmv9dmo.cab

O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} - http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/es/scan8/oscan8.cab

O16 - DPF: {5ED10D68-AC1F-40E0-A1DE-2ED9C2BBF7FD} (tim) - http://172.35.1.95/Postventa/postventa.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232450574734

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210070913015

O16 - DPF: {83149159-2B59-4979-B49C-1C765F77DDAD} (Componentes Interacciona y Configurables) - http://172.35.1.95/Postventa/componentes.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?39513.3757638889

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://puntos.dgt.es/conductores_cert_cpp/pag/capicom.cab

O16 - DPF: {B6F0855B-A06D-498B-A537-80AFF04A1B4E} (WSClientCtl Class) - https://www.telefonicaonline.com/o1/http/WSClient.cab

O16 - DPF: {BCBF3856-68F9-4FEE-ADA0-9D8D255B9F24} - https://empresas.gruposantander.es/bsch/gestion/suite/descarga/paquetes/instalacion/ligera/TransfChequesLight.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CC6DA43F-321C-4AF5-82EE-B4FFE428CECC} (SwingALL) - http://172.35.1.95/Postventa/swingall.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444577240000} - http://active.macromedia.com/flash2/cabs/swflash.cab

O16 - DPF: {D44987FB-48A3-4E77-B0C7-8BBD88E850A6} (Paquetes PDF) - http://172.35.1.95/Postventa/pdf.cab

O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://mppv2flash3.valueactive.com/Unibet/FlashAX.cab

O16 - DPF: {F2E6E5F4-5EBA-443B-8710-0AE39D46DD20} - http://172.35.1.95/Postventa/tim.cab

O16 - DPF: {FA971B6F-FD49-4BE3-9760-F030E7BC56E1} (webPLATEA) - http://172.35.1.95/Postventa/webplatea.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{55193047-5D3D-45DD-BA15-F3CD60C71093}: NameServer = 172.35.1.12

O17 - HKLM\System\CCS\Services\Tcpip\..\{F8DC0A84-492C-4F53-85A3-D3A952DFF2C1}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: belarc - {6318E0AB-2E93-11D1-B8ED-00608CC9A71F} - C:\Archivos de programa\Belarc\Advisor\System\BAVoilaX.dll

O20 - Winlogon Notify: ACTIVESYNC - WCESWLGN.DLL

O20 - Winlogon Notify: WZCNOTIF - WZCDLG.DLL

O21 - SSODL: Network.ConnectionTray - {7007ACCF-3202-11D1-AAD2-00805FC1270E} - C:\WINNT\system32\NETSHELL.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - stobject.dll

O21 - SSODL: lPxpCdKguw - {31501BF2-9BFA-B158-75BA-D084623E10CB} - C:\WINNT\system32\eyjosf.dll (file missing)

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: Cisco Systems Inc. IPSec Driver (CVPNDRVA) - Cisco Systems, Inc. - C:\WINNT\system32\Drivers\CVPNDRVA.sys

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINNT\system32\svchost -k rpcss (file missing)

O23 - Service: SupportSoft Listener Service (sprtlisten) - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\sprtlisten.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Archivos de programa\Spyware Terminator\sp_rsser.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Cisco Systems VPN Adapter (CVirtA) - Cisco Systems, Inc. - C:\WINNT\SYSTEM32\DRIVERS\CVirtA.sys

O23 - Service: iSeries Access for Windows Remote Command (Cwbrxd) - IBM Corporation - C:\WINNT\cwbrxd.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Deterministic Network Enhancer Miniport (DNE) - Deterministic Networks, Inc. - C:\WINNT\SYSTEM32\DRIVERS\dne2000.sys

O23 - Service: Intel(R) PRO Adapter Driver (E100B) - Intel Corporation - C:\WINNT\SYSTEM32\DRIVERS\e100bnt5.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINNT\SYSTEM32\drivers\nmwcd.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINNT\SYSTEM32\drivers\nmwcdc.sys

O23 - Service: Nokia USB Port (nmwcdcj) - Nokia - C:\WINNT\SYSTEM32\drivers\nmwcdcj.sys

O23 - Service: Nokia USB Modem (nmwcdcm) - Nokia - C:\WINNT\SYSTEM32\drivers\nmwcdcm.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINNT\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SiS300 - Silicon Integrated Systems Corporation - C:\WINNT\SYSTEM32\DRIVERS\sis300p.sys

O23 - Service: Audio Driver (WDM) - SigmaTel CODEC (STAC97) - SigmaTel, Inc. - C:\WINNT\SYSTEM32\drivers\STAC97.sys

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe

O23 - Service: vsdatant - Zone Labs, LLC - C:\WINNT\System32\vsdatant.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - VERITAS Software Corp. - C:\WINNT\SYSTEM32\drivers\dmboot.sys



24 Servicios.

6 de Carga Automatica.

17 de Carga Manual.

1 Deshabilitados.



Un saludo.

[msc hotline sat]

Analizado en log:



Puede eliminar esta clave:



O21 - SSODL: lPxpCdKguw - {31501BF2-9BFA-B158-75BA-D084623E10CB} - C:\WINNT\system32\eyjosf.dll (file missing)





para ello pruebe buscar eyjosf.dll con el BUSCAREG:





[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]



Y las muestras enviadas se analizarán el lunes e implementara su control y eliminacion, si procede, en el siguiente ELISTARA



saludos



ms, 16-10-2009

[msc hotline sat]

Y decíamos:



[b][i]"asi que envianos el CTBR.DLL de C:\muestras y estos F:\EXPLORER.EXE y el F:\AUTORUN.INF"[/i][/b]





Hemos recibido el CTBR.DLL que está para analizar pero que a primera vista no se aprecia ninguna rutina vírica, pero no los otros dos, EXPLORER Y AUTORUN.



Fijarse que pedimos el que está en F:, no vayas a enviarnos el del sistema :wink: y el AUTORUN ahora lo tienes como AUTOORUN.INF.OLD



A la recepcion de dichas muestras, las analizaremos e informaremos



sañludos



ms, 19-10-2009

[msc hotline sat]

A la espera de los ficheros pedidos, al monitorizar el CTBR.DLL ha resultado ser un CRAWLER Toolbar, que pasamos a controlar y eliminar en la version de hoy del ELISTARA 19.48:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



[b]RECUERDE QUE ESTAMOS PENDIENTES DE LOS OTROS FICHEROS PEDIDOS, GRACIAS[/b]



saludos



ms, 19-10-2009