Infectado por sujin.com.np

[luck40]

Hola, parece que estoy infectado por el virus sujin.com.np. Internet explorer se abre con esa pagina y no hay manera de quitarsela de encima. La cuestion es que no uso este navegador pero ayer se me empezaban abrir ventanas con publicidad y me mosqueo un monton, le pase el hijack y este es el report:



Un saludo y muchas gracias

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 10:18:26, on 03/07/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

E:\AVAST\AvastSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

E:\AVAST\avastUI.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\PROGRAMS\SPYBOT\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

E:\FIREFOX\firefox.exe

E:\FIREFOX\plugin-container.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\msiexec.exe

E:\hijs\Trend Micro\HiJackThis\HiJackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Sujin.com.np

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe,userinit.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - (no file)

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRAMS\SPYBOT\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

O4 - HKLM\..\Run: [avast5] E:\AVAST\avastUI.exe /nogui

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PROGRAMS\SPYBOT\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-21-1482476501-1085031214-1417001333-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'postgres')

O4 - HKUS\S-1-5-21-1482476501-1085031214-1417001333-1005\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'postgres')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Party\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Party\PartyPoker\RunApp.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRAMS\SPYBOT\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRAMS\SPYBOT\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\PROGRAMS\POKER\STARTS\PokerStarsUpdate.exe (HKCU)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: avgrsstarter - Invalid registry found

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: avast! Antivirus - AVAST Software - E:\AVAST\AvastSvc.exe

O23 - Service: avast! Mail Scanner - AVAST Software - E:\AVAST\AvastSvc.exe

O23 - Service: avast! Web Scanner - AVAST Software - E:\AVAST\AvastSvc.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Archivos de programa\PostgreSQL\8.3\bin\pg_ctl.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Archivos de programa\Archivos comunes\Adobe\SwitchBoard\SwitchBoard.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe



--

End of file - 8627 bytes

[msc hotline sat]

Pues descarga el ELISTARA y acepta cuando pregunte si quieres eliminar la pagina de inicio.



Luego, al final te preguntará cual quieres poner, y le poner la que quieras tener cuando arranca el I.E.


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



y para otra vez, recuerda: https://foros.zonavirus.com/viewtopic.php?f=13&t=29543





saludos



ms, 3-7-2010

RESJAZ

[luck40]

La situacion sigue igual.......quiero decir, se abren paginas solas de IE y no es mi navegador pero es que se escucha el sonido de un anuncio cuando el ordenador no tiene pagina alguna abierta. Escanee online con panda y este es el report y hay un para de cookies que da igual que las quites que se vuelven a reinstalar.



Saludos y muchas gracias



ANALYSIS: 2010-07-03 20:29:46

PROTECTIONS: 1

MALWARE: 4

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

avast! Antivirus 5.0.83886674 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@doubleclick[1].txt

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@atdmt[1].txt

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ad.yieldmanager[1].txt

00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@questionmarket[3].txt

00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@questionmarket[2].txt

;===================================================================================================================================================================================

SUSPECTS

Sent Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================

VULNERABILITIES

Id Severity Description

;===================================================================================================================================================================================

;===================================================================================================================================================================================

[msc hotline sat]

Selecciona el contenido de c:\infosat.txt y con un copiar y pegar posteanoslo en tu proximo post, como respuesta de este Tema, gracias



Aparte, ganaremos tiempo si ademas posteas el informe que genera el SPROCES:




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 4-7-2010



NOTA:

Y aunque las cookies solo sean trazas o restos de webs visitadas, puedes eliminarlas con el ELITEMPO:



http://www.zonavirus.com/datos/descargas/70/EliTempo.asp



MS.

[luck40]

Bueno, este archivo no lo postee ayer porque vi que no habia nada:



(3-7-2010 20:59:49 (GMT))

EliStartPage v21.29 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(3-7-2010 21:00:21 (GMT))

EliStartPage v21.29 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4838

Nº Total de Ficheros: 54956

Nº de Ficheros Analizados: 14061

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





y el otro................. tambien comentarte que cada vez que escucho el anuncio de marras sin estar abierta ninguna pagina al ratito por defecto se baja el volumen de los altavoces a cero.



Un saludo y muchas gracias



(4-7-2010 13:23:59 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: WINDOWSXP

Nombre Usuario: Manuel



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

E:\AVAST\AVASTSVC.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

E:\AVAST\AVASTUI.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\PROGRAMS\SPYBOT\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

E:\FULLTILT\FULLTILTPOKER.EXE

C:\ARCHIVOS DE PROGRAMA\RVG SOFTWARE\HOLDEM MANAGER\HOLDEMMANAGER.EXE

C:\ARCHIVOS DE PROGRAMA\RVG SOFTWARE\HOLDEM MANAGER\HMIMPORT.EXE

C:\ARCHIVOS DE PROGRAMA\RVG SOFTWARE\HOLDEM MANAGER\HMHUD.EXE

C:\WINDOWS\SYSTEM32\SNDVOL32.EXE

E:\FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

E:\FIREFOX\PLUGIN-CONTAINER.EXE

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

C:\DOCUMENTS AND SETTINGS\MANUEL\MIS DOCUMENTOS\DESCARGAS\SPROCES\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: Shell=explorer.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - (no file)

O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRAMS\SPYBOT\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PROGRAMS\SPYBOT\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [avast5] E:\AVAST\avastUI.exe /nogui

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Party\PartyPoker\RunApp.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRAMS\SPYBOT\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\PROGRAMS\POKER\STARTS\PokerStarsUpdate.exe (HKCU)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-0014-0002-0019-ABCDEFFEDCBA} (Java Plug-in 1.4.2_19) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: AVGRSSTARTER - (no file)

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\ALCXWDM.SYS (de 613244 bytes) () Realtek Semiconductor Corp.

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 455680 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: avast! Antivirus - AVAST Software - E:\AVAST\AvastSvc.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - Unknown owner - C:\Archivos de programa\PostgreSQL\8.3\bin\pg_ctl.exe" runservice -w -N "pgsql-8.3" -D "C:\Archivos de programa\PostgreSQL\8.3\d (file missing)

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: avast! Mail Scanner - AVAST Software - E:\AVAST\AvastSvc.exe

O23 - Service: avast! Web Scanner - AVAST Software - E:\AVAST\AvastSvc.exe

O23 - Service: C-Media PCI Audio Driver (WDM) (cmpci) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmaudio.sys

O23 - Service: Controlador Creative SB16/AWE32/AWE64 (WDM) (ctlsb16) - Copyright (C) Creative Technology Ltd. 1994-2001 - C:\WINDOWS\SYSTEM32\drivers\ctlsb16.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI NIC Family NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtnicxp.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Archivos de programa\Archivos comunes\Adobe\SwitchBoard\SwitchBoard.exe

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: NDIS5.1 Miniport Driver for Marvell Yukon Gigabit Ethernet Adapter (yukonwxp) - Marvell Semiconductor Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\yukonwxp.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



22 Servicios.

6 de Carga Automatica.

15 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Pues ya con el ELISTARA se han corregido las claves que veiamos en el log del HJT sobre :



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Sujin.com.np



F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe,userinit.exe



que ya se ven normalizadas en el log del SPROCES, asi que no vemos razón por la que persista la visualizacion del anuncio y demas... DIno si tras reiniciar aun persiste, u ya ha dejado de hacerlo, en cuyo caso dariamos el Tema por solucionado.



saludos



ms, 4-7-2010

[luck40]

Hola, pues nada, los problemas persisten........se siguen escuchando anuncios de fondo y saltan paginas de IE.



Muchas gracias

[msc hotline sat]

Pero nos decias que el problema era la pagina de inicio del I.E. que se te abria con:



"virus sujin.com.np. Internet explorer se abre con esa pagina y no hay manera de quitarsela de encima"



Y esto es lo que preguntamos si persiste o se ha solucionado.



Si tienes un anuncio de audio de fondo, dinos si es como lo de este Tema:



https://foros.zonavirus.com/viewtopic.php?f=5&t=32292&p=174008&hilit=PUBLICIDAD+DE+KALIA#p174008



y seguiremos con ello.



saludos



ms, 4-7-2010

[luck40]

Si, efectivamente es lo mismo...........publicidad de kalia y calgonit..........y reduccion del volumen del pc



Saludos

[msc hotline sat]

Pues pueden ser dos virus diferentes:



Sobre el primer virus, que no creo que tenga que ver con lo de ahora, parace que se trata del Worm.VBS,Small.n y que se propaga a traves de pendrives y unidades removibles en dos archivos ocultos en el menú principal de sichos dispositivos: ‘autorun.inf’ y ‘VirusRemoval.vbs’



Un análisis detallado del código del gusano muestra sus orígenes nepalíes: parte de su táctica de ataque es cambiar la página de inicio de Internet Explorer por ‘sujin.com.np’, un sitio de dominio nepalí.



Dicha página http://www.sujin.com.np ya ha sido eliminada, y vamos a ver si localizamos el fichero oculto VirusRemoval.vbs para pasarlo a controlar.



Como medida precautoria, vacunar con el ELIPEN el ordenador y los pendrives que haya:



[b] ELIPEN.EXE: [/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



Si aparece algo relativo al VirusRemoval.vbs , enviarnoslo para analizar y controlar



Y seguiremos investigando sobre lo segundo...



saludos



ms, 4-7-2010

[msc hotline sat]

y mira lo que acabo de escribir en

https://foros.zonavirus.com/viewtopic.php?f=5&t=32292&start=15



Debido a que otros tres usuarios estan afectados por la misma historia de los anuncios de Kalia y calgonit, he buscado donde habíamos investigado al respecto, y visto que era en este Tema, lástima que el usuario no siguiera informando del resultado, pero en cualquier caso, el ELISTARA ya detecta el causante



Objecto: C:\System Volumen Information\Microsoft\smss.exe

Infección: Win32:Cycler-B [DRP]



aunque puede requerir desactivar la restauracion de sistema, debido a la ruta donde se ubica.



Asi que, para todos los afectados, primero desactivar la restairacion de sistema, pulsando boton derecho en MIPC -> Propiedades -> Restaurar -> Desactivar restauracion de sistema



y luego ARRANCAR EN modo seguro (Pulsar repetidamente F8 al iniciar y escoger dicha opcion) y en dicho modo lanzar el ELISTARA



y nos posteais el informe resultante, gracias (con un copiar y pegar del contenido de c:\infosat.txt)



saludos



ms, 4-7-2010

[msc hotline sat]

Y segun he leido en otro foro al que quería ayudar y facilitar la eliminacion de dichos ficheros, parece que este virus Cycler tambien modifica el MBR, por lo que paralelamente a lo indicado, arrancar con el CD de instalacion de windows, pulsar R para acceder a la consola de Recuperacion y ejecutar FIXMBR, con FIXMBR -> <Enter>



saludos



ms, 4-7-2010

[luck40]

Aqui tenemos el resultado del analisis...........



(4-7-2010 17:31:05)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida

(4-7-2010 17:42:51 (GMT))

EliStartPage v21.29 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "UserFaultCheck"="%systemroot%\system32\dumprep 0 -u"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(4-7-2010 17:53:09 (GMT))

EliStartPage v21.29 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4840

Nº Total de Ficheros: 56229

Nº de Ficheros Analizados: 14221

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

No vemos que haya procesado ningun pendrive con el ELIPEN.



Si tiene alguno, lance el ELIPEN, escoja la unidad donde esté insertado y pulse en PROCESAR.



Tras ello posteenos el contenido de c:\infosat.txt, gracias



saludos



ms, 5-7-2010





NOTA: Y si no indicara detectar nada (posteelo igual) siga con lo del FIXMBR que indicabamos en el post anterior. ms.

[luck40]

Hola, en cuanto al Pendrive........no tengo y otra cosa que me acabo de dar cuenta.......he perdido el cd de instalacion de windows...........acabo de hacer mudanza y no aparece por ningun lado.



Un saludo

[msc hotline sat]

Bueno, hay una alternativa, aunque no la usamos : el MBRFIX.EXE en lugar del FIXMBR



Con el Google, busca una descarga de donde lo ofrezcan y mira como dicen usarlo.



Creo que puede servirte igual.



saludos



ms, 5-7-2010

[luck40]

Estoy desesperado. Me baje el programa, modo seguro, simbolo del sistema y meto la orden: C:/mbrfix /drive 0 listpartitions y la respuesta es : "c:/mbrfix" no se reconoce como un comando interno o externo.

programa o archivo por lotes ejecutable.



Esto es para morirse.



Un saludo y muchas gracias por tu tiempo

[msc hotline sat]

Seguramente no lo guardó en C:\, que es desde donde lo quiere ejecutar... quizás lo guardó en el escritorio, vea donde lo tiene y ejecutelo desde allí o copielo donde quiere ejecutarlo.



Lo mas fácil sería copiarlo a c:\ (carpeta raiz o principal) y ejecutarlo tal como ahora lo hace.



saludos



ms, 5-7-2010

[luck40]

Bueno yo estoy desesperado...........y tu por aguantarme.

Seguimos con el problema.........ahora dice: error 32......el proceso no tiene acceso porque esta siendo utilizado por otro proceso. DESESPERANTEEEEEEEEEEEEEEEEEE



Muchas gracias por tu paciencia

[msc hotline sat]

No tengo experiencia con esta utilidad, no es nuestra, nosotros lo hacemos siempre con el FIXMBR... pero prueba de hacerlo de entrada, tras reiniciar el ordenador, sin que nada ni nadie lo use...



Y sino, busca a alguien que te deje un CD de instalacion de windows XP, vale cualquiera ya que el MBR es comun , y arrancando con él, accede a la Consola y ejecutas el FIXMBR, como indicabamos inicialmente..



saludos



ms, 6-7-2010