Sospecha de troyanos que deshabilitan internet

[lolita43]

Buenos días,



Creo que me ha entrado algún tipo de virus en el pc ya que últmamente tengo problemas con las conexiones a internet y además mi antivirus me avisa constantemente de amenazas.



He llamado a la compañía de teléfono y por parte de ellos no consta ninguna avería ni nada por el estilo.



Además cuando arranco el ordenador, en el escritorio me aparece un mensaje RUNDLL: Error al cargartvxfp.dll



Desde que me pasé esto la semana pasada, descargué elistara y este es el resultado que me dió:



(22-7-2010 10:04:53 (GMT))

EliStartPage v21.42 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\EGYPACK]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\EGYPACK.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\QEPY.EXE.Muestra EliStartPage v21.42

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\REIDCE\QEPY.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\TVXFP.DLL.Muestra EliStartPage v21.42

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TVXFP.DLL --> Eliminado

Entrada Eliminada [HKCU\...\Run] "{7F3DD1B2-5DEB-5E29-7D79-51E55B65D16F}"=""C:\Documents and Settings\Administrador\Datos de programa\Reidce\qepy.exe""

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Microsoft Driver Setup"="C:\WINDOWS\cndrive32.exe"

Eliminada Class, "{E0EC6FBA-F009-3535-95D6-B6390DB27DA1}" -> C:\WINDOWS\system32\tvxfp.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Reinicie para Completar la Limpieza.



(22-7-2010 10:13:54 (GMT))

EliStartPage v21.42 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8985

Nº Total de Ficheros: 90257

Nº de Ficheros Analizados: 31360

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(22-7-2010 10:23:44 (GMT))

EliStartPage v21.42 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\EGYPACK]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\EGYPACK.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\SDRA64.EXE.Muestra EliStartPage v21.42

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "{7F3DD1B2-5DEB-5E29-7D79-51E55B65D16F}"=""C:\Documents and Settings\Administrador\Datos de programa\Reidce\qepy.exe""

Eliminada Carpeta "%WinSys%\Lowsec"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.





Espero que me podáis echar un cable :wink:



Gracias!

[msc hotline sat]

Pues como indica el informe resultante, proceda a enviar los ficheros indicados, como muestras para analizar:





Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\EGYPACK.DLL



Por favor, envienos una muestra del fichero

C:\Muestras\QEPY.EXE.Muestra EliStartPage v21.42



Por favor, envienos una muestra del fichero

C:\Muestras\TVXFP.DLL.Muestra EliStartPage v21.42



Por favor, envienos una muestra del fichero

C:\Muestras\SDRA64.EXE.Muestra EliStartPage v21.42





Para ello:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 26-7-2010

[lolita43]

Hola de nuevo,



He intentado mandaró la muestra del fichero, pero cuando lo iba a comprimir, me ha salido un mensaje del antivirus diciéndome que era una amenaza y me ha desaparecido el icono :shock:



¿Qué puedo hacer?

[msc hotline sat]

Hagalo arrancando en modo seguro, asi no estará en marcha el antivirus y podrá empaquetarlo con password sin problemas, tras lo cual, el fichero empaquetado, lo podrá enviar arrancando normalmente, pues al ir cifrado, no será detectado.



saludos



ms, 27-7-2010

[lolita43]

Hola de nuevo,



Ya lo he probado y nada...el icono ha desaparecido como por arte de magia...aunque el pc tiene errores que persisten.

[lucl]

Vuelve a ejecutar elistara a ver si te los encuentra de nuevo y de ser asi envianoslos arrancando en modo seguro como te indico Msc, en caso de que no vuelvan a aparecer nos comentas. Y peganos tambien el log de infosat.txt completo una vez hayas pasado elistara. Saludos.

[msc hotline sat]

Es lógico que los interceptaran los antivirus, pues ya el primero es sospechoso:



http://www.prevx.com/filenames/1143236395557234411-X1/EGYPACK.DLL.html



y alguno de los demás tienen nombre propio de malwares:



http://www.prevx.com/filenames/4263436342454080173-X1/EBZBG.EXE.html



y el último, SDRA64.EXE es alguna variante del SpyZBOT, conocido RootKit, muy habitual en este foro y que en ocasiones provoca la aparicion de dobles acentos en el word.



De todas formas este último ya ha sido eliminado de su ubicación original, y tras reiniciar no se pondrá en marcha.



Solo lo pedimos para controlar la variante especifica, pero sus efectos ya deben haber desaparecido en esta maquina.



IGualmente estos otros dos tambien han sido eliminados



C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\REIDCE\QEPY.EXE --> Eliminado



C:\WINDOWS\SYSTEM32\TVXFP.DLL --> Eliminado



El unico que esta vivo y coleando es el EGYPACK.DLL , que hasta que no lo analicemos no queremos eliminarlo por solo ser sospechoso. Mientras no nos lo envias, añade .VIR a su extension para que no se cargue a partir del proximo reinicio, y ya de momento tendrás aparcado el problema .



saludos



ms, 27-7-2010

[lolita43]

Buenas, perdón por el retraso.



A ver, vamos por pasos; he vuelto a pasar el Elistara, el resultado es este:



(28-7-2010 10:56:43 (GMT))

EliStartPage v21.42 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SDRA64.EXE.Muestra EliStartPage v21.42

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Eliminado

Eliminada Carpeta "%WinSys%\Lowsec"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



(28-7-2010 11:07:56 (GMT))

EliStartPage v21.42 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9000

Nº Total de Ficheros: 90040

Nº de Ficheros Analizados: 31409

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Ahora? Ya véis que no me desenvuelvo muy bien en este ámbito :oops:



Saludos,

[lucl]

Ahora lo que tienes que hacer es ir a C y enviarnos esta muestra para ello empaquetala con winrar y ponle de contraseña la palabra virus. Si quieres desactiva momentaneamente el antivirus para empaquetarla y enviarla para que no la elimine.



Por favor, envienos una muestra del fichero

C:\Muestras\SDRA64.EXE.Muestra EliStartPage v21.42

a "virus@satinfo.es". Gracias.



Una vez empaquetada ve al boton de envio muestras que tienes aqui en la web arriba a la derecha y nos la mandas. Confirmanos por favor que pudiste hacerlo bien, saludos.

[msc hotline sat]

Y no te olvides de enviarnos tambien las demas muestras que pedimos:



Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\EGYPACK.DLL



Por favor, envienos una muestra del fichero

C:\Muestras\QEPY.EXE.Muestra EliStartPage v21.42



Por favor, envienos una muestra del fichero

C:\Muestras\TVXFP.DLL.Muestra EliStartPage v21.42



especialmente la primera, que como hemos dicho, está campando de por libre...



saludos



ms, 28-7-2010

[lolita43]

Buenos días,



Os he mandado las muestras comprimidas como me pedistéis, pero con la contraseña "infected".



Hay una que no os la he podido mandar porque es la que me desapareció, la de c/: winlogon... sigue sin estar.



De las otras espro a que me digáis para eliminarlas.



Thanks! :wink:

[msc hotline sat]

Recibidos los tres ficheros muestra, que ya han sido eliminados y aparcados en c:\muestras:



File QEPY.EXE.Muestra_EliStartPage_v21 received on 2010.07.29 07:21:27 (UTC)

Current status: finished



Result: 24/42 (57.14%)

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2010.07.29.00 2010.07.28 -

AntiVir 8.2.4.26 2010.07.28 TR/Agent.HM.600

Antiy-AVL 2.0.3.7 2010.07.29 Packed/Win32.Krap.gen

Authentium 5.2.0.5 2010.07.29 -

Avast 4.8.1351.0 2010.07.28 Win32:Rootkit-gen

Avast5 5.0.332.0 2010.07.28 Win32:Rootkit-gen

AVG 9.0.0.851 2010.07.28 Pakes.GMT

BitDefender 7.2 2010.07.29 Gen:Variant.Bredo.6

CAT-QuickHeal 11.00 2010.07.29 -

ClamAV 0.96.0.3-git 2010.07.29 -

Comodo 5577 2010.07.29 Heur.Packed.Unknown

DrWeb 5.0.2.03300 2010.07.29 Trojan.Packed.20343

Emsisoft 5.0.0.34 2010.07.29 Packed.Win32.Krap.hm!A2

eSafe 7.0.17.0 2010.07.27 -

eTrust-Vet 36.1.7747 2010.07.29 -

F-Prot 4.6.1.107 2010.07.28 -

F-Secure 9.0.15370.0 2010.07.29 Gen:Variant.Bredo.6

Fortinet 4.1.143.0 2010.07.28 -

GData 21 2010.07.29 Gen:Variant.Bredo.6

Ikarus T3.1.1.84.0 2010.07.29 -

Jiangmin 13.0.900 2010.07.29 -

Kaspersky 7.0.0.125 2010.07.29 Packed.Win32.Krap.hm

McAfee 5.400.0.1158 2010.07.29 -

McAfee-GW-Edition 2010.1 2010.07.28 -

Microsoft 1.6004 2010.07.29 PWS:Win32/Zbot.gen!Y

NOD32 5321 2010.07.28 Win32/Spy.Zbot.YW

Norman 6.05.11 2010.07.28 W32/Suspicious_Gen2.BRTRA

nProtect 2010-07-28.02 2010.07.28 Gen:Variant.Bredo.6

Panda 10.0.2.7 2010.07.28 Generic Rootkit

PCTools 7.0.3.5 2010.07.29 Trojan.Gen

Prevx 3.0 2010.07.29 -

Rising 22.58.03.03 2010.07.29 -

Sophos 4.55.0 2010.07.29 Mal/Zbot-U

Sunbelt 6657 2010.07.29 Trojan.Win32.Generic!BT

SUPERAntiSpyware 4.40.0.1006 2010.07.29 -

Symantec 20101.1.1.7 2010.07.29 Trojan.Gen

TheHacker 6.5.2.1.326 2010.07.27 -

TrendMicro 9.120.0.1004 2010.07.29 TSPY_ZBOT.SMJM

TrendMicro-HouseCall 9.120.0.1004 2010.07.29 TSPY_ZBOT.SMJM

VBA32 3.12.12.6 2010.07.28 Trojan.Zbot.YW

ViRobot 2010.7.29.3962 2010.07.29 -

VirusBuster 5.0.27.0 2010.07.28 -

Additional information

File size: 142848 bytes

MD5 : a9c2ed6092e8f4baed0f2958f01af928

SHA1 : a31e09f7ca181aa247428da48c77f6a696f4cde5





Este Qepy.exe es una variante de Bredolab, downloader que puede haber descargado el RootKit SDRA64, que ya hemos aparcado-



en cambio el otro solo tiene una deteccion:



File TVXFP.DLL.Muestra_EliStartPage_v2 received on 2010.07.29 07:19:09 (UTC)

Sunbelt 6657 2010.07.29 Adware.Win32.Adshot

Result: 1/41 (2.44%)



El SDRA64 es una variante del SPYBOT ROOTKIT del que ya conocemos tropecientas muestras.



Todos ellos han sido aparcados y a partir del siguiente reinicio ya no se cargaran en memoria, y en el proximo ELISTARA (de la semana del 23 de Agosto) ya se controlará por cadenas.





pero nos falta el que dices que no encuentras... :



Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\EGYPACK.DLL



Quizas lo eliminó tu antivirus una vez aparcado el Rootkit



Mira si tras reiniciar persiste alguna anomalia, y sino entenderemos que es por lo indicado, y cuando volvamos de vacaciones implementaremos en el ELISTARA el control y eliminacion de estas variantes.



Entonces descarga el nuevo ELISTARA y cuando compruebes que elimina incluso los de C:\muestras, ya estará solucionado totalmente el problema. Mientras puedes trabajar normalmente ya que no incordiarán, salvo que por cualquier otra historia persistiera algun problema, en tal caso dinoslo.



saludos



ms, 29-7-2010

[lolita43]

Buenos días,



El fichero C:\WinLogon\EGYPACK.DLL, despues de reiniciar sigue sin aparecer, no está en esa ubicación.

Pero el problema del RUNDLL que aparece al arrancar el ordenador persiste. Indica que hubo un error al cargarse. :?



No sé si hay alguna otra forma de arreglarlo.



Gracias de nuevo.

[msc hotline sat]

Pues se lo habrá cargado el antivirus u otra utilidad que tengas, porque cuando pasaste el ELISTARA estaba y se copió a C:\winlogon\ ...



Para ver las claves relacionadas con él o con el RUNDLL, prueba el SPROCES y nos posteas el informe resultante:



[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 30-7-2010

[lolita43]

Hola,



No me deja pegaros la respuesta. Justo después le doy a enviar y me aparece el "internet no puede mostrar página"

[lucl]

Mira de pegarlo por partes, en dos o asi por si fuera caso de que es muy largo pero procura no olvidarte ninguna linea. Veamos si asi puedes, saludos.

[msc hotline sat]

Y en casos excepcionales, como al parecer es este, puedes anexarlo al post que envies, (primero lo empaquetas en ZIP o RAR y luego lo anexas y envias)



saludos



ms, 2-8-2010

[lolita43]

(2-8-2010 09:22:23 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: HP69213155927

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\FILE SANITIZER\HPFSSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\DRIVE ENCRYPTION\HPFKCRYPT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCHSVX.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGRSX.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCSRVX.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\IAM\BIN\ASGHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\CORE\SMAX4PNP.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAX4.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INTEL\PRIVACY ICON\PRIVACYICONCLIENT.EXE

C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\ACTIVIDENTITY\ACTIVCLIENT\ACCRDSUB.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP PROTECTTOOLS SECURITY MANAGER\PTHOSTTR.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\FILE SANITIZER\CORESHREDDER.EXE

C:\WINDOWS\SMINST\SCHEDULER.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZTSB08.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE

C:\ARCHIV~1\AVG\AVG9\AVGTRAY.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ACTIVIDENTITY\ACTIVCLIENT\ACCOCA.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGWDSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ACTIVIDENTITY\ACTIVCLIENT\ACEVENTS.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP PROTECTTOOLS SECURITY MANAGER\PTCHANGEFILTERSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGNSX.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INTERVIDEO\REGMGR\IVIREGMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LIGHTSCRIBE\LSSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\AMT\LMS.EXE

C:\ARCHIVOS DE PROGRAMA\PDF COMPLETE\PDFSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\PROTEXIS\LICENSE SERVICE\PSISERVICE_2.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\90\SHARED\SQLWRITER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INTEL\PRIVACY ICON\UNS\UNS.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\SHARED\HPQWMIEX.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIV~1\MICROS~2\OFFICE11\OUTLOOK.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCSRVX.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE11\WINWORD.EXE

C:\SPROCES.EXE

[lolita43]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: Taskman=C:\Documents and Settings\Administrador\Datos de programa\ogix.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: adShotHlpr Object - {2F408298-C2F2-4219-AC39-E12AA3611943} - C:\WINDOWS\system32\tvxfp.dll (file missing)

O2 - BHO: BHO_Startup Class - {3134413B-49B4-425C-98A5-893C1F195601} - C:\Archivos de programa\Hewlett-Packard\File Sanitizer\IEBHO.dll

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG9\avgssie.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: moigh Object - {8A0DEFA0-6DB1-446B-995A-672E7C159D25} - C:\WINDOWS\system32\pvxfp.dll (file missing)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Archivos de programa\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [picon] "C:\Archivos de programa\Archivos comunes\Intel\Privacy Icon\PrivacyIconClient.exe" -startup

O4 - HKLM\..\Run: [WatchDog] C:\Archivos de programa\InterVideo\DVD8SESD\DVDCheck.exe

O4 - HKLM\..\Run: [PDF Complete] C:\Archivos de programa\PDF Complete\pdfsty.exe

O4 - HKLM\..\Run: [accrdsub] "C:\Archivos de programa\ActivIdentity\ActivClient\accrdsub.exe"

O4 - HKLM\..\Run: [PTHOSTTR] C:\Archivos de programa\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\ARCHIV~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule

O4 - HKLM\..\Run: [SetRefresh] C:\Archivos de programa\Compaq\SetRefresh\SetRefresh.exe

O4 - HKLM\..\Run: [File Sanitizer] C:\Archivos de programa\Hewlett-Packard\File Sanitizer\CoreShredder.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe

O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe

O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [AVG9_TRAY] C:\ARCHIV~1\AVG\AVG9\avgtray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sta] rundll32 "tvxfp.dll",,Run

O4 - HKLM\..\Run: [MChk] C:\WINDOWS\system32\gvxfp.exe

O4 - HKLM\..\Policies\Explorer\Run: [tcyz46] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\l84alx.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

[lolita43]

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'C:\Archivos de programa\Bonjour\mdnsNSP.dll' missing

[lolita43]

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/es/scan8/oscan8.cab

[lolita43]

Lo siento, lo he tenido que ir pegando así pero cada vez me dejaba copiar menos líneas, hasta que al final no me deja copiaros ninguna. :(



Lo he comprimido y adjuntado a ver qué podéis hacer.



Gracias y saludos!

[msc hotline sat]

Pues se ven muchas claves anomalas:



F2 - REG:system.ini: Taskman=C:\Documents and Settings\Administrador\Datos de programa\ogix.exe



O2 - BHO: adShotHlpr Object - {2F408298-C2F2-4219-AC39-E12AA3611943} - C:\WINDOWS\system32\tvxfp.dll (file missing)



O2 - BHO: moigh Object - {8A0DEFA0-6DB1-446B-995A-672E7C159D25} - C:\WINDOWS\system32\pvxfp.dll (file missing)



O4 - HKLM\..\Run: [sta] rundll32 "tvxfp.dll",,Run



O4 - HKLM\..\Run: [MChk] C:\WINDOWS\system32\gvxfp.exe



O4 - HKLM\..\Policies\Explorer\Run: [tcyz46] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\l84alx.exe





Envianos estos ficheros para analizar:



C:\Documents and Settings\Administrador\Datos de programa\ogix.exe



C:\WINDOWS\system32\gvxfp.exe



C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\l84alx.exe





y añadeles .VIR a su extension para que no sean lanzados tras el proximo reinicio



Tras recibirlos los analizaremos e implementaremos su control y eliminacion, si procede, en las siguientes versiones de ELISTARA



saludos



ms, 3-8-2010

[lolita43]

Hola de nuevo,



No sé si es normal o no, pero no encuentro ninguno de esos archivos en esas ubicaciones.



Incluso he buscado con el buscador de archivos de windows y no me los encuentra.



Es normal?

[msc hotline sat]

Pueden estar ocultos.



Mira si los encuentras con el ELIMOVER, y nos los envias desde C:\muestras\ :



ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original, ya que se trata de un malware



saludos



ms, 3-8-2010

[lolita43]

Hola de nuevo!



Perdón por no responder hasta hoy, pero he estado un tiempo fuera.



Mi problema persiste y además cada día peor... ahora, aparte de salirme el mensaje de error de RUNDLL al iniciar sesión, si estoy en facebook o en gmail, me cierra las sesiones solo, me cambia la apariencia de windows y hasta me han pirateado mi cuenta Hotmail y ya no la puedo abrir, he tenido que contactar con los del software a ver si la puedo recuperar.



Acabo de usar Elimover y no me encuentra los últimos archivos de los que hablamos.



Después de casi un mes, qué podemos hacer? Volvemos ha hacer todo igual? Elistara, etc?



Espero a que me indiquéis, esto es desesperante :x



Muchas gracias como siempre! :wink:

[msc hotline sat]

Pues si no tienes los ficheros, procedería eliminar las claves que los lanzan:



O4 - HKLM\..\Run: [sta] rundll32 "tvxfp.dll",,Run



O4 - HKLM\..\Run: [MChk] C:\WINDOWS\system32\gvxfp.exe



O4 - HKLM\..\Policies\Explorer\Run: [tcyz46] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\l84alx.exe





pero si no has probado el ELIPALEVO, descargalo y pruebalo, a ver si detecta algo o poide muestra de este que tambien podría ser sospechoso:



C:\Documents and Settings\Administrador\Datos de programa\ogix.exe





[b] ELIPALEVO: [/b]

http://www.zonavirus.com/descargas/elipalevo.asp



[/quote]





y como que este es un virus que se propaga por pendrive ejecute tambien



[b]ELIPEN.EXE[/b] (vacuna de protección)

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos





y si en el informe no detecta nada ni pide el envio de ninguna muestra sospechosas para analizar, envienos muestra de este que decimos:



C:\Documents and Settings\Administrador\Datos de programa\ogix.exe







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 9-9-2010

[lolita43]

[quote="msc hotline sat"]Pues si no tienes los ficheros, procedería eliminar las claves que los lanzan:



O4 - HKLM\..\Run: [sta] rundll32 "tvxfp.dll",,Run



O4 - HKLM\..\Run: [MChk] C:\WINDOWS\system32\gvxfp.exe



O4 - HKLM\..\Policies\Explorer\Run: [tcyz46] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\l84alx.exe


[/quote]

Cómo elimino esto? Cómo encontrarlo? :oops:



Gracias!

[msc hotline sat]

Sí, con el BUSCAREG, inserta cada nombre de fichero y que lo busque en el registro, y cuando lo encuentre, doble click en la linea y se abrirá una ventana ofreciendo la eliminacion de la clave, procede...



tvxfp.dll



gvxfp.exe



l84alx.exe





y lo del ERROR del RunDLL desaparecerá con la eliminacion de la primera clave...



pero aparte haz lo del ELIPALEVO y envianos el fichero ogix.exe



saludos



ms, 9-9-2010

[lolita43]

Hola!



He podido borrar dos de las 3 cadenas con el buscareg. La del medio no la ha encontrado.

El mensaje del RUNDLL ya no me aparece.



He pasado el Elipalevo y el resultado es este:



(10-9-2010 07:34:13 (GMT))

EliPalevo v1.76 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



(10-9-2010 07:39:51 (GMT))

EliPalevo v1.76 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 11114

Nº Total de Ficheros: 98643

Nº de Ficheros Analizados: 3856

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Me sigue cambiando la apariencia de windows y se me abren ventanas nuevas del explorador. Cuando esto ocurre me salta el antivirus advirtiéndome de la amenaza.



Solo me queda hacer lo del pen.



Necesito algo más?