a ver que os parece el log (las paginas de antivirus no van)

[popu]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:03:30, on 01/12/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\Hewlett-Packard\OrderReminder\OrderReminder.exe

C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Archivos de programa\Companion Suite Pro LL\MFPrintServer.exe

C:\Archivos de programa\Companion Suite Pro LL\MFServices.exe

C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\Archivos de programa\VIA\VIAudioi\HDADeck\HDeck.exe

C:\ARCHIV~1\ALWILS~1\Avast5\avastUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Google\Update\1.2.183.13\GoogleCrashHandler.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Archivos de programa\Java\jre6\bin\jucheck.exe

I:\viruss\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webmail.editor.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = VÌnculos

F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Windows Live AplicaciÛn auxiliar de inicio de sesiÛn - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [CtrlMod20] C:\DOCUME~1\Nancy\CONFIG~1\Temp\ctrlAT20.exe -m 68 -p"H:"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [OrderReminder] C:\Archivos de programa\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MFPrintServer_Pro_LL] "C:\Archivos de programa\Companion Suite Pro LL\MFPrintServer.exe"

O4 - HKLM\..\Run: [MFServices_Pro_LL] "C:\Archivos de programa\Companion Suite Pro LL\MFServices.exe" -n

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [HDAudDeck] C:\Archivos de programa\VIA\VIAudioi\HDADeck\HDeck.exe 1

O4 - HKLM\..\Run: [avast5] C:\ARCHIV~1\ALWILS~1\Avast5\avastUI.exe /nogui

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe

O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Nancy\CONFIG~1\Temp\herss.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2BA57604-4A23-406C-B2BD-392D4A959CD8} (WUploaderControl2 Class) -



O17 - HKLM\System\CCS\Services\Tcpip\..\{5AE05750-ABBB-46CE-A358-2FF6E71712EB}: NameServer = 80.58.61.250,80.51.61.254

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe



--

End of file - 8669 bytes

[msc hotline sat]

Pues vemos varios lanzamientos sospechosos, empezando por el del userinit lanzando un EXPLORER.EXE que puede no ser el de sistema, aparte de que no se carga normalmente desde esta clave...: F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE



y otras claves que lanzan un wsctf.exe y un EXPLORER.EXE desde un RUN:



O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE



por lo que estos dos ficheros conviene que nos los envien, y si del EXPLORER.EXE encuentran dos, enviennos los dos, pues uno puede ser el de sistema (que está normalmente en C:\windows\ y el otro maliciosos puede estar en C:\windows\system32... ???



Aparte vemos este fichero C:\DOCUME~1\Nancy\CONFIG~1\Temp\herss.exe que puede ser un ONLINEGAMES, prueben el ELISTARA y si no lo detecta, enviennoslo tambien:



O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Nancy\CONFIG~1\Temp\herss.exe




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

[b][u]En resumen: Enviarnos estos ficheros para analizar:[/u][/b]



EXPLORER.EXE (de %windir% y %system%, o donde lo haya)

wsctf.exe (buscarlo con un Inicio -> Buscar)

C:\DOCUME~1\Nancy\CONFIG~1\Temp\herss.exe



y para el envio de muestras, recordar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 1-12-2009







NOTA: Y para otra vez, recuerden https://foros.zonavirus.com/viewtopic.php?f=5&t=29543



ms.

[popu]

gx por la respuesta.



estos archivos no los he encontrado , supongo quel el elistara los habra borrado.


[quote]wsctf.exe

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Nancy\CONFIG~1\Temp\herss.exe



y explorer solo encontré uno,[/quote]

envio tambien un

SProcLog.txt (antes elimine alguna linea porque aparecia alguna cosa de un banco y me daba apuro que se hiciera público)

[msc hotline sat]

Pues, como ya decimos, posteanos, con un copiar y pegar, el contenido de c:\infosat.txt para ver el resultado del proceso del ELISTARA, gracias



saludos



ms, 3-12-2009

[popu]

hola te pego el archivo primero y otro que he pasado ahora mismo,




[quote] (2-12-2009 12:42:52)

EliBagle v13.26 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

----------------------------------------------

Lista de Acciones (por ExploraciÛn):

Explorando "C:\"



N∫ Total de Directorios: 4819

N∫ Total de Ficheros: 47079

N∫ de Ficheros Analizados: 9070

N∫ de Ficheros Infectados: 0

N∫ de Ficheros Limpiados: 0



(2-12-2009 12:48:06 (GMT))

EliStartPage v19.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por AcciÛn Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\JWGKVSQ.VMX.Muestra EliStartPage v19.81

a "virus@satinfo.es". Gracias.

D:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\JWGKVSQ.VMX --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(2-12-2009 12:48:22 (GMT))

EliStartPage v19.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por ExploraciÛn):

Explorando "C:\"

C:\0QW6VEGE.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\9G86.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\A2G21.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\MWFUBAOB.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\NDS0Q.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\QBR2Q.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\SRGO.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\WCGSWA.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\WFX062.EXE --> Eliminado, PWS-OnLineGames.Herss



N∫ Total de Directorios: 4817

N∫ Total de Ficheros: 47074

N∫ de Ficheros Analizados: 12939

N∫ de Ficheros Infectados: 9

N∫ de Ficheros Limpiados: 9
[/quote]

de hoy:


[quote]
(3-12-2009 8:29:57 (GMT))

EliStartPage v19.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por ExploraciÛn):

Explorando "C:\"



N∫ Total de Directorios: 4817

N∫ Total de Ficheros: 47100

N∫ de Ficheros Analizados: 12929

N∫ de Ficheros Infectados: 0

N∫ de Ficheros Limpiados: 0



(3-12-2009 8:39:59 (GMT))

EliStartPage v19.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por AcciÛn Directa):

Eliminados Ficheros Temporales del IE



(3-12-2009 8:40:03 (GMT))

EliStartPage v19.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por ExploraciÛn):

Explorando "C:\"



N∫ Total de Directorios: 4817

N∫ Total de Ficheros: 47105

N∫ de Ficheros Analizados: 12929

N∫ de Ficheros Infectados: 0

N∫ de Ficheros Limpiados: 0
[/quote]

y te pego tambien el SProcLog.txt


[quote](2-12-2009 12:49:55 GMT)

SProces v4.3 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.5512) ;SP3;

Nombre Equipo: EDIT-POPULAR

Nombre Usuario: Nancy



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST5\AVASTSVC.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\ORDERREMINDER\ORDERREMINDER.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\COMPANION SUITE PRO LL\MFPRINTSERVER.EXE

C:\ARCHIVOS DE PROGRAMA\COMPANION SUITE PRO LL\MFSERVICES.EXE

C:\ARCHIVOS DE PROGRAMA\SCANSOFT\PAPERPORT\PPTD40NT.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\VIA\VIAUDIOI\HDADECK\HDECK.EXE

C:\ARCHIV~1\ALWILS~1\AVAST5\AVASTUI.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\UPDATE\1.2.183.13\GOOGLECRASHHANDLER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\REALVNC\VNC4\WINVNC4.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\DOCUMENTS AND SETTINGS\NANCY\ESCRITORIO\ANTIVIRUS ZONAVIRUS\ELIBAGLA.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUCHECK.EXE

C:\DOCUMENTS AND SETTINGS\NANCY\ESCRITORIO\ANTIVIRUS ZONAVIRUS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R3 - URLSearchHook: Hook de b˙squeda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Windows Live AplicaciÛn auxiliar de inicio de sesiÛn - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe

O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [CtrlMod20] C:\DOCUME~1\Nancy\CONFIG~1\Temp\ctrlAT20.exe -m 68 -p"H:"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [OrderReminder] C:\Archivos de programa\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MFPrintServer_Pro_LL] "C:\Archivos de programa\Companion Suite Pro LL\MFPrintServer.exe"

O4 - HKLM\..\Run: [MFServices_Pro_LL] "C:\Archivos de programa\Companion Suite Pro LL\MFServices.exe" -n

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [NWEReboot]

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [HDAudDeck] C:\Archivos de programa\VIA\VIAudioi\HDADeck\HDeck.exe 1

O4 - HKLM\..\Run: [avast5] C:\ARCHIV~1\ALWILS~1\Avast5\avastUI.exe /nogui

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2BA57604-4A23-406C-B2BD-392D4A959CD8} (WUploaderControl2 Class) - https://oie.cajamadridempresas.es/CajaMadrid/oie/IntegraWebCM/cabs/easyfilewebval2.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {8CCD6E3F-8477-4F7E-AA88-608B8D423D71} - https://oie.cajamadridempresas.es/CajaMadrid/oie/IntegraWebCM/cabs/easyfilewebval2.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab

O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5AE05750-ABBB-46CE-A358-2FF6E71712EB}: NameServer = 80.58.61.250,80.51.61.254

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de cachÈ de las categorÌas de componente - %SystemRoot%\system32\browseui.dll



InformaciÛn Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

**O23 - Service: Servicio del administrador de discos lÛgicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: Companion Suite Pro LL F@X activities (LFXACT) - OEM - C:\WINDOWS\SYSTEM32\Drivers\LFXACT.sys

O23 - Service: monfilt - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\monfilt.sys

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: Controlador de vÌnculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: VIA High Definition Audio Driver Service (VIAHdAudAddService) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\viahduaa.sys

O23 - Service: XML USB Device Interface (XMLDIUSB) - OEM - C:\WINDOWS\SYSTEM32\Drivers\XMLDIUSB.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



23 Servicios.

7 de Carga Automatica.

15 de Carga Manual.

1 Deshabilitados.
[/quote]



el

[msc hotline sat]

Pues aparte de que tenía el OnlineGames, que ha sido detectado por el ELISTARA y eliminado, lo mas grave es que tienes el Conficker:



Por favor, envienos una muestra del fichero

C:\Muestras\JWGKVSQ.VMX.Muestra EliStartPage v19.81





Así que sigue el protocolo que indicamos para el mismo:



http://www.zonavirus.com/noticias/2009/anexo-sobre-el-conficker-que-se-publico-pero-quedo-oculto.asp





y puedes comprobarlo con el COMPROBADOR:



http://www.zonavirus.com/descargas/comprobador.asp





A continuacion analizamos el log del SPROCES:



lógicamente no se ve nada del Conficker al ser un RootKit que oculta sus claves, procesos y ficheros, pero vemos estas dos claves muy sospechosas:



O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe



O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE





envianos estos dos ficheros para analizar, posiblemente los dos estarán en la carpeta de sistema: C:\windows\system32\ el wsctf.exe y el EXPLORER.EXE , pero ojo, de este último no te confundas con el de sistema que está en C:\windows\



Ten presente que pueden estar ocultos... si quieres prueba el ELIMOVER para ello y los copias a C:\muestras\ , desde donde te será facil enviarnoslos



DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp



y como que se trata de malwares, marcar la casilla inferior izquierda para que se añada .VIR al fichero original, y asi no pueda ponerse en marcha a partir del siguiente reinicio





saludos



ms, 3-12-2009

[msc hotline sat]

El JWGKVSQ.VMX recibido, es una nueva variante de Conficker que pasamos a controlar con las utilidades de hoy, si bien el proceso de desinfección es el mismo que el indicado en mi post anterior.



Sobre el EXPLORER.EXE que nos ha enviado, es el del sistema, con



MD5: 7522f548a84abad8fa516de5ab3931ef



y que normalmente hay en C:\windows, pero que no es lanzado normalmente desde la clave indicada... Diganos en qué carpeta lo tiene y si tiene alguno mas, ya que el que suponemos lanza no es de esta carpeta



Si encuentra otro doferente, envienoslo para analizar, igual que el otro fichero que le pediamos.



Sino, se supodrá que ya los ha eliminado y solo le queda dedicarse al Conficker.



saludos



ms, 3-12-2009