captcha.dll - freddy72.exe

peayo · Mensaje por **peayo** » 31 Oct 2009, 06:51

hola señores, de sona virus.com, soy de peru y en un intento por solucionar el problema con el pc creo que lo puedo haber complicado un poco.

al prender el pc me aparecia un mensaje en el que decia que no se encontro el archibo captcha.dll, por lo cual no cerre la ventana y busque en la red el nombre y a traves de este medio llegue a su pagina donde encontre el tema No se que es... (SOLUCIONADO)(https://foros.zonavirus.com/viewtopic.php?f=6&t=30057) donde tienen un problema parecido y lei con mucha atencion todo el foro, descargue SProces y encontre ciertas similitudes en el resultado con respecto a:

O4 - HKLM\..\Run: [sysldtray] C:\windows\ld15.exe

O4 - HKLM\..\Run: [sysfbtray] C:\windows\freddy72.exe

O4 - HKLM\..\Run: [SySmstray] C:\windows\mstre22.exe

O4 - HKLM\..\Run: [Captcha7] rundll "C:\Archivos de programa\captcha.dll",captcha

O1 - Hosts: 127.0.0.1 localhost

por lo cual descargue: EliMover

con lo que le puse primero que trabaje con: C:\Archivos de programa\captcha.dll luego con C:\windows\ld15.exe y al reiniciar el pc me aparecio algo de que freddy72 estaba en ejecucion pero de todos modos apague el pc y lo encendi para probar mis resultados y ya no aparecio la ventana que decia: no se encontro captcha.dll, pero note que aparecia una ventana e inmediatamente se oculta, pero no tiene ningun texto o si lo tiene no parece. Es por ello que reinicie el pc y cargue en modo seguro donde otra vez cargue EliMover y puse que ejecute las direcciones:

C:\windows\ld15.exe

C:\windows\freddy72.exe

C:\windows\mstre22.exe

C:\Archivos de programa\captcha.dll

esta ultima decia que no existia.

al reiniciar el pc note que paso lo mismo.

SProces 1

(31-10-2009 02:52:58 GMT)

SProces v4.1 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: GRACE

Nombre Usuario: GRACE

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO 7\INCD\INCDSRV.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT\SEARCH ENHANCEMENT PACK\SEAPORT\SEAPORT.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO 7\INCD\NBHGUI.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO 7\INCD\INCD.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\PANEL DE CONTROL DE ATI\ATIPTAXX.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INSTALLSHIELD\UPDATESERVICE\ISSCH.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\FREDDY72.EXE

C:\WINDOWS\MSTRE22.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\ARES\ARES.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE SECURITY SCAN\1.0.150\SSSCHEDULER.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\TOOLBAR\WLTUSER.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\RDR_1256954178.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\GRACE\ESCRITORIO\PEAYO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O2 - BHO: IEHlprObj Class - {F171A450-7AF5-43E1-AFED-EDC826A1B0F5} - (no file)

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [ares vista] "C:\Archivos de programa\Ares Vista\AresVista.exe" -h

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SecurDisc] C:\Archivos de programa\Nero\Nero 7\InCD\NBHGui.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\Panel de Control de ATI\atiptaxx.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sysldtray] C:\windows\ld15.exe

O4 - HKLM\..\Run: [sysfbtray] C:\windows\freddy72.exe

O4 - HKLM\..\Run: [SySmstray] C:\windows\mstre22.exe

O4 - HKLM\..\Run: [Captcha7] rundll "C:\Archivos de programa\captcha.dll",captcha

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Reader Synchronizer.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O4 - Global Startup: McAfee Security Scan.lnk

O4 - Global Startup: WinZip Quick Pick.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7AA85BE3-2240-4B17-A400-BB20E0ABFB24}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Controlador del adaptador de red Broadcom 802.11 (BCM43XX) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcmwl5.sys

O23 - Service: Conexant AMC Audio (CAMCAUD) - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\camc6aud.sys

O23 - Service: CAMCHALA - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\camc6hal.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: InCD File System (InCDfs) - Nero AG - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys

20 Servicios.

6 de Carga Automatica.

12 de Carga Manual.

2 Deshabilitados.

SProces 2

(31-10-2009 04:32:06 GMT)

SProces v4.1 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: GRACE

Nombre Usuario: GRACE

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO 7\INCD\INCDSRV.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT\SEARCH ENHANCEMENT PACK\SEAPORT\SEAPORT.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO 7\INCD\NBHGUI.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO 7\INCD\INCD.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\PANEL DE CONTROL DE ATI\ATIPTAXX.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INSTALLSHIELD\UPDATESERVICE\ISSCH.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\FREDDY72.EXE

C:\WINDOWS\MSTRE22.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\ARES\ARES.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE SECURITY SCAN\1.0.150\SSSCHEDULER.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\TOOLBAR\WLTUSER.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\GRACE\ESCRITORIO\PEAYO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O2 - BHO: IEHlprObj Class - {F171A450-7AF5-43E1-AFED-EDC826A1B0F5} - (no file)

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [ares vista] "C:\Archivos de programa\Ares Vista\AresVista.exe" -h

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SecurDisc] C:\Archivos de programa\Nero\Nero 7\InCD\NBHGui.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\Panel de Control de ATI\atiptaxx.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sysldtray] C:\windows\ld15.exe

O4 - HKLM\..\Run: [sysfbtray] C:\windows\freddy72.exe

O4 - HKLM\..\Run: [SySmstray] C:\windows\mstre22.exe

O4 - HKLM\..\Run: [Captcha7] rundll "C:\Archivos de programa\captcha.dll",captcha

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Reader Synchronizer.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O4 - Global Startup: McAfee Security Scan.lnk

O4 - Global Startup: WinZip Quick Pick.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7AA85BE3-2240-4B17-A400-BB20E0ABFB24}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Controlador del adaptador de red Broadcom 802.11 (BCM43XX) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcmwl5.sys

O23 - Service: Conexant AMC Audio (CAMCAUD) - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\camc6aud.sys

O23 - Service: CAMCHALA - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\camc6hal.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: InCD File System (InCDfs) - Nero AG - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys

20 Servicios.

6 de Carga Automatica.

12 de Carga Manual.

2 Deshabilitados.

SProces 3

(31-10-2009 04:50:51 GMT)

SProces v4.1 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: GRACE

Nombre Usuario: GRACE

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\GRACE\ESCRITORIO\PEAYO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O2 - BHO: IEHlprObj Class - {F171A450-7AF5-43E1-AFED-EDC826A1B0F5} - (no file)

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [ares vista] "C:\Archivos de programa\Ares Vista\AresVista.exe" -h

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SecurDisc] C:\Archivos de programa\Nero\Nero 7\InCD\NBHGui.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\Panel de Control de ATI\atiptaxx.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sysldtray] C:\windows\ld15.exe

O4 - HKLM\..\Run: [sysfbtray] C:\windows\freddy72.exe

O4 - HKLM\..\Run: [SySmstray] C:\windows\mstre22.exe

O4 - HKLM\..\Run: [Captcha7] rundll "C:\Archivos de programa\captcha.dll",captcha

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Reader Synchronizer.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O4 - Global Startup: McAfee Security Scan.lnk

O4 - Global Startup: WinZip Quick Pick.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7AA85BE3-2240-4B17-A400-BB20E0ABFB24}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Controlador del adaptador de red Broadcom 802.11 (BCM43XX) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcmwl5.sys

O23 - Service: Conexant AMC Audio (CAMCAUD) - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\camc6aud.sys

O23 - Service: CAMCHALA - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\camc6hal.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: InCD File System (InCDfs) - Nero AG - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys

20 Servicios.

6 de Carga Automatica.

12 de Carga Manual.

2 Deshabilitados.

dentro de la carpeta muestras tengo los sigientes archivos

freddy72.exe.Muestra EliMover v1.1

ld15.exe.Muestra EliMover v1.1

mstre22.exe.Muestra EliMover v1.1

De ante mano muchas gracias y espero puedan ayudarme a dar solucion a mi problema.

Mensaje por **msc hotline sat** » 31 Oct 2009, 07:35

De entrada, si todavía no lo ha hecho, pruebe el ELISTARA:

[quote="para DESCARGAR el ELISTARA, msc"]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Analisis del log:

Faltan parches : Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Lance windowsupdate e instale los pendientes !

Ficheros sospechosos:

C:\WINDOWS\FREDDY72.EXE

C:\WINDOWS\MSTRE22.EXE

C:\WINDOWS\RDR_1256954178.EXE

C:\Archivos de programa\Ares Vista\AresVista.exe

C:\windows\ld15.exe

C:\Archivos de programa\captcha.dll

Supongo que serán variantes de los ya controlados por el ELISTARA, ~~[b]~~envienoslos para analizar [/b]e implementaremos el control y eliminacion de las nuevas variantes, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 31-10-2009

recuerde:

[quote]
~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos[/quote]
ms.

NOTA: Solo debe postearse 1 log por Tema.

https://foros.zonavirus.com/viewtopic.php?f=13&t=6268

Se examina el primero y se prescinde los los posteriores

peayo · Mensaje por **peayo** » 31 Oct 2009, 14:13

ol vide mencionar que cada vez q entro al facebook se mandan caritas :) y un mensaje de imbitacion para ver un video a todos mis contacos

peayo · Mensaje por **peayo** » 31 Oct 2009, 16:07

buenos dias, al reiniciar mi computador, el EliStarA se activo antes de terminar de cargar windows y me aparecieron unos mensajes en los que decian algo sobre los archivos autorun.inf y open=a2g2i.exe.

elistara al analizar el pc arrojo un resultado en el que decia que elimino 18 archivos (¿lo cuelgo?) y tambien menciono un problema con una carpeta del disco D que antes estaba en C y al entrar a la carpeta me di con la sorpresa de que los nombres de los archivos aparecen en forma de cuadraditos (los archivos son de musica)

julibaga · Mensaje por **julibaga** » 31 Oct 2009, 17:01

Si pasaste el Elitara, abre el archivo C:\infosat.txt copia el contenido y pégalo en tu siguiente post. luego vuelve a pasar el sprocess para ver si quedó algo y pega también el resultado.

Mensaje por **msc hotline sat** » 31 Oct 2009, 19:02

Como nuy bien dice julibaga, abre el c:\infosat.txt y peganos su contenido, allí veremos si este a2g2i.exe ya lo ha controlado o tambien pide que nos envies muestra para analizarlo, en cuyo caso procede como indicabamos con los demas, envianoslo y asi lo analizaremos y controlarenos en la siguiente version del ELISTARA

Pero como que está claro que está rondando un virus de pendrive, prueba ademas el ELIPEN :

vacune todas sus unidades de disco y pendrive con el ELIPEN:

~~[b]~~ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 31-10-2009

peayo · Mensaje por **peayo** » 01 Nov 2009, 06:23

bueno señores nose cual es la direccion exacta de autorun.inf o de a2g2i.exe, por otro lado el resultado fue

(31-10-2009 03:55:55)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\windows\ld15.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\windows\ld15.exe" -> Renombrado a .VIR

(31-10-2009 04:53:56)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\windows\freddy72.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\windows\freddy72.exe" -> Renombrado a .VIR

Fichero: "C:\windows\mstre22.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\windows\mstre22.exe" -> Renombrado a .VIR

(31-10-2009 13:21:10 (GMT))

EliStartPage v19.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FREDDY71.EXE.Muestra EliStartPage v19.59

a "virus@satinfo.es". Gracias.

C:\WINDOWS\FREDDY71.EXE --> Eliminado

C:\WINDOWS\LD15.EXE.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\HERSS.EXE.Muestra EliStartPage v19.59

a "virus@satinfo.es". Gracias.

C:\DOCUME~1\GRACE\CONFIG~1\TEMP\\HERSS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\CVASDS0.DLL.Muestra EliStartPage v19.59

a "virus@satinfo.es". Gracias.

C:\DOCUME~1\GRACE\CONFIG~1\TEMP\\CVASDS0.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\CVASDS1.DLL.Muestra EliStartPage v19.59

a "virus@satinfo.es". Gracias.

C:\DOCUME~1\GRACE\CONFIG~1\TEMP\\CVASDS1.DLL --> Eliminado

Entrada Eliminada [HKCU\...\Run] "cdoosoft"="C:\DOCUME~1\GRACE\CONFIG~1\Temp\herss.exe"

Entrada Eliminada [HKLM\...\Run] "sysldtray"="C:\windows\ld15.exe"

Eliminada Class, "{F171A450-7AF5-43E1-AFED-EDC826A1B0F5}" -> NULL2

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(31-10-2009 13:52:54)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\RDR_1256954178.EXE" -> Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\RDR_1256954178.EXE" -> Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\RDR_1256954178.EXE" -> Renombrado a .VIR

Fichero: "C:\Archivos de programa\Ares Vista\AresVista.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\Archivos de programa\Ares Vista\AresVista.exe" -> Renombrado a .VIR

(31-10-2009 14:20:59 (GMT))

EliStartPage v19.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUME~1\GRACE\CONFIG~1\TEMP\\CVASDS0.DLL.VIR --> Eliminado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=a2g21.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=a2g21.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

(31-10-2009 14:25:18 (GMT))

EliStartPage v19.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\0FKK02X.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\2O1AJAGT.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\3YALGC.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\9JYHDIM8.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\BYCFHT.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\CQB6WO.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\CTU8R.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\LHH3V.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\QCOD.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\R2G20.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\RG9G9BGQ.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\S3EK.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\SP1JENSI.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\T2HJO0.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\VLVTDFLX.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\W9UXX92.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\WRSF.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\YCVVJ.EXE --> Eliminado, PWS-OnLineGames.Herss

Nº Total de Directorios: 3956

Nº Total de Ficheros: 42543

Nº de Ficheros Analizados: 17423

Nº de Ficheros Infectados: 18

Nº de Ficheros Limpiados: 18

(31-10-2009 14:35:35 (GMT))

EliStartPage v19.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

Nº Total de Directorios: 311

Nº Total de Ficheros: 7249

Nº de Ficheros Analizados: 126

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(31-10-2009 14:36:05 (GMT))

EliStartPage v19.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

Nº Total de Directorios: 311

Nº Total de Ficheros: 7249

Nº de Ficheros Analizados: 126

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(31-10-2009 14:36:53 (GMT))

EliStartPage v19.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

Nº Total de Directorios: 311

Nº Total de Ficheros: 7249

Nº de Ficheros Analizados: 126

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(1-11-2009 04:53:14)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------

Detectado C:\Autorun.inf

OPEN=A2G21.EXE

C:\Autorun.inf -> Renombrado a .OLD

Unidad C:\ Protegida

Unidad C:\ YA esta Protegida

Detectado D:\Autorun.inf

OPEN=A2G21.EXE

D:\Autorun.inf -> Renombrado a .OLD

Unidad D:\ Protegida

Unidad D:\ YA esta Protegida

(1-11-2009 04:58:08)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad C:\ YA esta Protegida

Mensaje por **msc hotline sat** » 01 Nov 2009, 10:02

Pues aparte de los sospechosos que ya tengas en c:\muestras, vemos que tenías ONLINE GAMES, de la línea HERSS, que posiblemente es el que te estaba creando los AUTORUN.INF en los pendrive, con sus ficheros correspondientes.

Envianos todos los ficheros que encuentres en la carpeta C:\muestras, y tambien este AUTORUN.INF, que hora se llamará AUTORUN.INF.OLD

Detectado AUTORUN.INF en la Unidad (C)

open=a2g21.exe

Si Desconoce la Aplicación, por favor envienosla

con el fichero C:\A2G21.EXE que podrás mover a C:\muestras con el ELIMOVER que ya conoces.

Además vemos que te faltan parches:

No detectado SP3 de Windows XP

Lanza un windowsupdate e instala los que te detecte que faltan !

tenias una buena colección de malwares...

saludos

ms, 1-11-2009

julibaga · Mensaje por **julibaga** » 01 Nov 2009, 18:49

Además, desinstala el Ares. Verás que mejora el funcionamiento de la máquina.

Mensaje por **msc hotline sat** » 01 Nov 2009, 20:01

Digamos además que no somos partidarios de comparticiones P2P, Ares, eDonkey, eMule, etc, pues son un foco de introducción de troyanos, y para muestra, un botón ... :) !

saludos

ms, 1-11-2009

captcha.dll - freddy72.exe

captcha.dll - freddy72.exe

Re: captcha.dll - freddy72.exe

Re: captcha.dll - freddy72.exe

Re: captcha.dll - freddy72.exe

Re: captcha.dll - freddy72.exe

Re: captcha.dll - freddy72.exe

Re: captcha.dll - freddy72.exe

Re: captcha.dll - freddy72.exe

Re: captcha.dll - freddy72.exe

Re: captcha.dll - freddy72.exe