VIRUS NO SE ELIMINA CON LA VERSION 22.03 DE ELISTARA

[arturo89]

Hola, tengo un problema, ejecute el ElistarA v22.03, elimino como 9 virus pero me mando dos mensajes diciendo que envie las muestras. El problema de mi pc es que no puedo cambiar la pagina de inicio, con ElistarA la puse para que fuera google pero cuando abro la ventana aparece en el nombre de la ventana groogle.info y se muestra la pagina speeddial. Puedo acceder a las paginas que yo quiera pero no me deja cambiar la pagina de inicio. De que virus se trata y como puedo deshacerme de èl?



Espero que alguien me pueda ayudar. Voy a enviar las muestras.

[msc hotline sat]

Pues primero, posteanos el contenido de c:\infosat.txt como siempre pedimos, para ver el proceso realizado y luego envianos las muestras que se te piden:



>[b]ENVIO DE MUESTRAS Y ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



Aparte, descarga el SPROCES, lo pruebas y nos posteas el log resultante:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 18-11-2010

RMEXVILLA

[arturo89]

Como lo posteo, copiandolo aqui? Bueno si no es asi me avisan, aqui se los dejo.



18-11-2010 18:53:10 GMT)

SProces v4.9 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: ARTURO-D0E47E83

Nombre Usuario: arturo



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\SIGMATEL\C-MAJOR AUDIO\WDM\STACSV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE

C:\WINDOWS\STTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\JAVA\JAVA UPDATE\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\QUICKTIME\QTTASK.EXE

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\JAVA\JAVA UPDATE\JUCHECK.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\ARTURO\MIS DOCUMENTOS\SPROCES.EXE



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: Taskman=

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Messenger Plus Live Mexico Toolbar - {07ff1832-0bc0-4f57-83cf-d4c552783f09} - C:\Archivos de programa\Messenger_Plus_Live_Mexico\tbMes2.dll (file missing)

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Datos de programa\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\ConduitEngine.dll (file missing)

O2 - BHO: IEVkbdBHO Class - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Archivos de programa\DVDVideoSoftTB\tbDVD1.dll (file missing)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: FilterBHO Class - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: DVDVideoSoftTB Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Archivos de programa\DVDVideoSoft\tbDVD0.dll (file missing)

O3 - Toolbar: DVDVideoSoftTB Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Archivos de programa\DVDVideoSoft\tbDVD0.dll (file missing)

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O3 - Toolbar: Messenger Plus Live Mexico Toolbar - {07ff1832-0bc0-4f57-83cf-d4c552783f09} - C:\Archivos de programa\Messenger_Plus_Live_Mexico\tbMes2.dll (file missing)

O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Archivos de programa\DVDVideoSoftTB\tbDVD1.dll (file missing)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\arturo\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [PATHPILOT] C:\Archivos de programa\Kat MP3 Recorder\Kat MP3 Recorder.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [Nero MediaHome 4] "C:\Archivos de programa\Nero\Nero MediaHome 4\NeroMediaHome.exe" /AUTORUN

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O8 - Extra context menu item: Agregar al componente Anti-Banners - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Free YouTube Download - C:\Documents and Settings\arturo\Datos de programa\DVDVideoSoftIEHelpers\youtubedownload.htm

O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Documents and Settings\arturo\Datos de programa\DVDVideoSoftIEHelpers\youtubetomp3.htm

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Archivos de programa\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: &Teclado virtual - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Compro&bar direcciones URL - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_19) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} (Java Plug-in 1.6.0_19) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_19) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\ARCHIV~1\KASPER~1\KASPER~1\kloehk.dll

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: KLOGON - C:\WINDOWS\SYSTEM32\KLOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 457216 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: Nero MediaHome 4 Service (NeroMediaHomeService.4) - Nero AG - C:\Archivos de programa\Nero\Nero MediaHome 4\NMMediaServerService.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\STacSV.exe

O23 - Service: Vcs support (Vcs) - Unknown owner - C:\WINDOWS\system32\Drivers\Vcs.sys



Listado de Servicios (Carga Manual):

------------------------------------

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FXDRV - Unknown owner - D:\Fxdrv.sys (file missing)

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: GMSIPCI - Unknown owner - D:\INSTALL\GMSIPCI.SYS (file missing)

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Kaspersky Anti-Virus NDIS Filter (klim5) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klim5.sys

O23 - Service: Kaspersky Lab KLMOUFLT (klmouflt) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klmouflt.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: rak - Unknown owner - C:\WINDOWS\system32\rakion.sys

O23 - Service: Realtek 8169 NT Driver (RTL8169) - Realtek Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtlh86.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SigmaTel High Definition Audio CODEC (STHDA) - SigmaTel, Inc. - C:\WINDOWS\SYSTEM32\drivers\sthda.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



28 Servicios.

9 de Carga Automatica.

18 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Muy bien, aunque nos falta ver el contenido de c:\infosat.txt... Postealo igual que has hecho con este.





Y sobre el log, de entrada vemos que te faltan mas de 1000 parches ...:



[b][i]Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2[/i][/b]



Lanza un windowsupdate e instala los que encuentres a faltar.





y por esta entrada podría haber un palevo o haberlo habido:



[b][i]F2 - REG:system.ini: Taskman=[/i][/b]



Lanza el ELIPALEVO:



[b] ELIPALEVO.EXE: [/b]

http://www.zonavirus.com/descargas/elipalevo.asp



y nos posteas luego el infosat.txt resultante.











y envianos para analizar estos ficheros:



C:\Archivos de programa\Kat MP3 Recorder\Kat MP3 Recorder.exe



C:\Documents and Settings\arturo\Datos de programa\DVDVideoSoftIEHelpers\youtubetomp3.htm



C:\WINDOWS\system32\Drivers\Vcs.sys





recuerda:

>[b]ENVIO DE MUESTRAS Y ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 18-11-2010

[arturo89]

Bueno acabo de encender nuevamente mi pc y no aparecia el logo de windows xp. Decia que el archivo faltaba solo marcaba la direccion C:/windows/system y que tenìa que poner el disco de windows y oprimir la tecla R, asi lo hice, insertè el cd y oprimi la tecla R pero no pasò nada, reinicie mi pc y ya pude entrar. Lo anterior no me habia pasado antes por eso se los informò. Mi pc trae el kaspersky como antivirus y hasta ahorita detectò los archivos con virus que les envie como muestras y automaticamente los eliminò pero los que estaban en la carpeta de muestras (no sè si esten en otro lado tambièn), los archivos que eliminò fueron SVCHOST.EXE y F3EZSETP.DLL . Ahora les envìo los archivos que me pidieron, y les muestro el contenido de InfoSat.txt despuès de haber ejecutado el Elipalevo:



(18-3-2010 01:40:44 (GMT))

EliStartPage v20.55 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(18-3-2010 01:45:54 (GMT))

EliStartPage v20.55 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\DVDVideoSoft\TBDVDV.DLL --> Eliminado, TBConduit(tb)

C:\Documents and Settings\arturo\Escritorio\ARTURITO\driveres\WDM_R243\WDM_R243\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 3020

Nº Total de Ficheros: 35062

Nº de Ficheros Analizados: 9281

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(18-11-2010 16:19:31 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v22.03

a "virus@satinfo.es". Gracias.

C:\DOCUME~1\ARTURO\CONFIG~1\TEMP\\SVCHOST.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\ASK.COM\GENERICASKTOOLBAR.DLL --> ASKToolbar(bho/tb) Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\F3EZSETP.DLL.Muestra EliStartPage v22.03

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\FUNWEBPRODUCTS\INSTALLR\1.BIN\F3EZSETP.DLL --> Eliminado

Eliminada Class, "{00000000-6E41-4FD3-8538-502F5495E5FC}" -> C:\Archivos de programa\Ask.com\GenericAskToolbar.dll

Eliminada Class, "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}" -> C:\Archivos de programa\FunWebProducts\Installr\1.bin\F3EZSETP.DLL

Eliminada Class, "{D4027C7F-154A-4066-A1AD-4243D8127440}" -> C:\Archivos de programa\Ask.com\GenericAskToolbar.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(18-11-2010 16:22:58 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos de Programa%\FunWebProducts"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(18-11-2010 16:23:14 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\522aea8fa5bfc057799c9b"



Nº Total de Directorios: 2

Nº Total de Ficheros: 14

Nº de Ficheros Analizados: 8

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-11-2010 16:25:46 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Archivos de programa"

C:\Archivos de programa\Ask.com\GENERICASKTOOLBAR.DLL.VIR --> Eliminado, ASKToolbar(bho/tb)

C:\Archivos de programa\ConduitEngine\CONDUITENGINE.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\DVDVideoSoft\TBDVD0.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\DVDVideoSoftTB\TBDVD0.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\DVDVideoSoftTB\TBDVD1.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\Messenger_Plus_Live_Mexico\TBMES1.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\Messenger_Plus_Live_Mexico\TBMES2.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\Messenger_Plus_Live_Mexico\TBMESS.DLL --> Eliminado, TBConduit(tb)



Nº Total de Directorios: 3616

Nº Total de Ficheros: 17142

Nº de Ficheros Analizados: 3697

Nº de Ficheros Infectados: 8

Nº de Ficheros Limpiados: 8



(18-11-2010 16:26:11 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\MSOCache"



Nº Total de Directorios: 22

Nº Total de Ficheros: 90

Nº de Ficheros Analizados: 64

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-11-2010 16:31:23 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\WINDOWS"



Nº Total de Directorios: 1819

Nº Total de Ficheros: 18174

Nº de Ficheros Analizados: 10802

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-11-2010 16:32:51 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\arturo\Mis documentos"

C:\Documents and Settings\arturo\Mis documentos\trabajo\MULEGENDARYS5EP4FULL.EXE --> Eliminado, Spy.Banker.BATS(pack)



Nº Total de Directorios: 563

Nº Total de Ficheros: 31484

Nº de Ficheros Analizados: 439

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(18-11-2010 16:33:07 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\arturo\Escritorio\My Shared Folder"



Nº Total de Directorios: 0

Nº Total de Ficheros: 50

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-11-2010 16:33:47 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\arturo\Escritorio\RESPALDO ARTURITO"



Nº Total de Directorios: 480

Nº Total de Ficheros: 11858

Nº de Ficheros Analizados: 554

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-11-2010 16:34:03 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\arturo\Escritorio\RESPALDO ARTURITO"



Nº Total de Directorios: 115

Nº Total de Ficheros: 469

Nº de Ficheros Analizados: 220

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(18-11-2010 16:34:12 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\All Users\Documentos"



Nº Total de Directorios: 11

Nº Total de Ficheros: 28

Nº de Ficheros Analizados: 8

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-11-2010 16:36:39 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings"



Nº Total de Directorios: 3753

Nº Total de Ficheros: 66120

Nº de Ficheros Analizados: 1948

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-11-2010 16:36:53 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\arturo\Escritorio\LILIANA"



Nº Total de Directorios: 148

Nº Total de Ficheros: 1974

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-11-2010 16:36:57 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\arturo\Escritorio\videos mama"



Nº Total de Directorios: 0

Nº Total de Ficheros: 19

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-11-2010 16:37:09 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\arturo\Escritorio\Plantas Contra Zombis (ElDiegoar)"



Nº Total de Directorios: 1

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-11-2010 16:37:17 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\arturo\Escritorio\evaluacion de conocimiento"



Nº Total de Directorios: 0

Nº Total de Ficheros: 4

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-11-2010 16:37:35 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Intel"



Nº Total de Directorios: 1

Nº Total de Ficheros: 2

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-11-2010 16:41:54 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(18-11-2010 16:52:40 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9240

Nº Total de Ficheros: 101795

Nº de Ficheros Analizados: 16547

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-11-2010 17:26:45 (GMT))

EliPen v2.2 (c)2010 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



(18-11-2010 17:27:59 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



(18-11-2010 17:28:06 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 2

Nº Total de Ficheros: 42

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-11-2010 17:28:16 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\Kick,Ass.2010"



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-11-2010 17:28:52 (GMT))

EliPen v2.2 (c)2010 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad E:\ Protegida



(18-11-2010 17:30:37 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



(18-11-2010 17:30:43 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"

E:\WINDOWS.CMD --> Eliminado, AutoRun.AX

E:\AUTORUN.INF --> Eliminado, AutoRun.AX(inf)



Nº Total de Directorios: 5

Nº Total de Ficheros: 29

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(18-11-2010 17:31:14 (GMT))

EliPen v2.2 (c)2010 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad E:\ Protegida



(18-11-2010 17:47:22 (GMT))

EliStartPage v22.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



(18-11-2010 20:58:01 (GMT))

EliPalevo v1.95 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



(18-11-2010 21:12:08 (GMT))

EliPalevo v1.95 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9274

Nº Total de Ficheros: 103243

Nº de Ficheros Analizados: 3683

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[arturo89]

Ya les enviè los archivos que me pidieron pero este no lo encontrè C:\Archivos de programa\Kat MP3 Recorder\Kat MP3 Recorder.exe

[msc hotline sat]

Pues en unas 3 horas entraremos a trabajar en SATINFO y analizaremos las muestras que nos has enviado, y esta que dices que no encuentras puede estar oculta, mira si la encuentra el ELIMOVER, indicandole con un copiar y pegar su ruta y nombre:



C:\Archivos de programa\Kat MP3 Recorder\Kat MP3 Recorder.exe



Con el ELIMOVER lo podrá copiar a C:\muestras sin atributos, y desde alli podrá enviarlo facilmente:



ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



Si la encuentra y la copia a c:\muestras, envienosla tambien para analizar.



saludos



ms, 19-11-2010

[arturo89]

Bueno voy a descargar el EliMover pero no lo podré usar hasta que logre encender mi pc, ya no arranca, el cpu enciende pero emite unos pitidos y la pantalla esta en negro ni siquiera puedo acceder al Bios. Si la logro encender les mando el archivo que me falta.

[msc hotline sat]

Lo que dices de que no arranca y lanza pitidos es propio de un problema de hardware, aparte de los malwares que tienes, mira de sacar la tarjeta de video y vuelvela a insertar, a ver si hay un mal contacto y ello es lo que te impide arrancar.



Luego descarga el ELISTARA actual, 22.05 y lo pruebas, pues ya hemos implementado el control y eliminacion de varios de tus ficheros en dicha version, como indicamos al respecto en : https://foros.zonavirus.com/viewtopic.php?f=11&t=33732



---v22.05-(19 de Noviembre del 2010) (Muestras de (3)[b][i]Proxy.Stor [/i][/b]"DWM, SHELL y [b][i]SVCHOST.EXE[/i][/b]", [b][i]Trojan.Ircbrute "CFDRIVE32.EXE", [/i][/b]AutoRun.VB.ML "WINLOGON.EXE", [b][i]MyWebSearch "F3EZSETP.DLL", [/i][/b]Bredolab.AH "NETTIR32.EXE"



Luego mira si con el ELIMOVER puedes copiar a C:\muestras, el fichero que no encuentras, y nos lo envias para analizar : C:\Archivos de programa\Kat MP3 Recorder\Kat MP3 Recorder.exe



Y nos informas del resultado, gracias



saludos



ms, 20-11-2010