ni formateando

sorzano · Mensaje por **sorzano** » 12 Mar 2006, 12:39

hola,hace unos meses abri un correo que me instalo algo. he formateado el ordenador 100 veces por activa y por pasiva y he instalado diferentes sistemas operativos y antivirus pero siempre hay algun problema: o no me deja eliminarlo o simplemente no lo encuentra.hace una semana lo lleve a una tienda especializada y me dijo que por la tarde llamaria para recogerlo y tardo 5 dias en llamarme me dijo que ya estaba y me cobro 40 euros. cuando llegue a mi casa le puse el nod32 me encontro 4 virus y me elimino 2 y los demas no podia porque estaban en la memoria operativa.creo que todo el meollo de la cuestion esta en los programas de inicio que me encuentra con el spybot y que creo que son los que no puedo eliminar ni formateandolo: winlogon AtiExtEvent Ati2evxx.dll

winlogon crypt32chain crypt32.dll

winlogon cryptnet crypnet.dll

winlogon cscdll cscdll.dll

winlogon ScCertProp wlnotify.dll

winlogon Schedule wlnotify.dll

winlogon sclgntfy sclgntfy.dll

winlogon SensLogn WINotify.dll

winlogon termsrv wlnotify.dll

winlogon wlballoon wlnotify.dll

El hijackthis da lo siguiente:

Logfile of HijackThis v1.99.1

Scan saved at 11:52:07, on 12/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\ARCHIV~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\Notepad.exe

C:\Documents and Settings\abel\Configuración local\Temp\Directorio temporal 2 para hijackthis.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [OESpamTest] C:\ARCHIV~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141594115140

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E1135013-925C-489C-BDC3-AE8BF9511D07}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\KAV\KAVSVC.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

no me deja usar la pagina de windowsupdate,he probado desabilitando restaurar sistema, en modo seguro, con diferentes antivirus en linea, dandole patadas al ordenador y solo me queda ya tirarlo por la ventana y comprarme otro ordenador aunque como dice un amigo mio igual el virus esta escondido en el cable del telefono.gracias

Mensaje por **msc hotline sat** » 12 Mar 2006, 12:51

Tiene kaspersky y Norton instalados simultaneamente, y no debe haber mas de uno !!! Desinstale el otro

Tras ello lance un windowsupdate y actualice parches

Y eso del virus en el cable del telefono es culpa de los de siempre ! :lol: :lol: :lol: Digaselo a los de la Telefonica a ver que le dicen .... :lol: :lol: :lol:

Tras ello, lance un ELISTARA, si le pide enviar muestras hagalo, y nos cuenta el resultado, gracias (vea y posteenos el C:\infosat.txt)

saludos

ms, 12-3-2006

sorzano · Mensaje por **sorzano** » 12 Mar 2006, 13:07

solo tengo instalado el kapersky antispam y antihacker, no el antivirus

sorzano · Mensaje por **sorzano** » 12 Mar 2006, 15:31

he desinstalado los kapersky y he actualizado windows, que antes no me dejaba y el infosat dice:

Sun Mar 12 11:38:20 2006

EliStartPage v11.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Mar 12 11:40:08 2006

EliStartPage v11.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\patch_pers_5.0.383_384_to_5.0.385.exe --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\patch_pers_5.0.388_390_to_5.0.391.exe --> AutoExtraible

C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\Codec Pack de ELISOFT\divx511\fsg_4104.exe --> Eliminado, Gator Gain

C:\PCPlus_Kaspersky\KAV_PSS.exe --> AutoExtraible

Sun Mar 12 11:42:13 2006

EliStartPage v11.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\patch_pers_5.0.383_384_to_5.0.385.exe --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\patch_pers_5.0.388_390_to_5.0.391.exe --> AutoExtraible

C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\Uninstall.exe --> AutoExtraible

C:\PCPlus_Kaspersky\KAV_PSS.exe --> AutoExtraible

Sun Mar 12 15:18:36 2006

EliStartPage v11.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Mar 12 15:22:14 2006

EliStartPage v11.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\patch_pers_5.0.383_384_to_5.0.385.exe --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\patch_pers_5.0.388_390_to_5.0.391.exe --> AutoExtraible

C:\PCPlus_Kaspersky\KAV_PSS.exe --> AutoExtraible

El hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 15:29:11, on 12/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\ARCHIV~1\NORTON~1\NORTON~3\navw32.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141594115140

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E1135013-925C-489C-BDC3-AE8BF9511D07}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Mensaje por **msc hotline sat** » 12 Mar 2006, 16:54

Pues habia adware ALEXA que el ELISTARA ka eliminado

Ahora el log del HJT está limpio

Sobre Norton y Kaspersky, mejor usar todo de un mismo fabricante, para evirtar colisiones ( ya vé sino...)

Y tras reiniciar, comentenos el resultado, gracias

saludos

ms, 12-3-2006

sorzano · Mensaje por **sorzano** » 12 Mar 2006, 17:58

A mi lo que me mata la cabeza son los winlogon esos que te indico mas arriba que detecta el spybot.

Mensaje por **msc hotline sat** » 12 Mar 2006, 19:29

Si arrancando en modo seguro, el ELISTARA no le pide muestras a enviar, es que no detecta nada sospechoso.

Arranque en tal modo, deshabilite la restauracion de sistema, lance el ELISTARA y posteenos a continuacion el C:\infosat.txt

Y sobre todo diganos si el ordenador se comporta anormalmente, gracias

saludos

ms, 12-3-2006

sorzano · Mensaje por **sorzano** » 20 Mar 2006, 21:05

perdon por la tardanza.

el otro dia le instale el xp home que es con el que me entraron los virus y con el que realmente va mal el ordenador porque hasta ahora las anteriores respuestas eran con el xp profesional y con este los virus no hacian mucho acto de presencia. ahora el ordenador si que va todo lo mal que puede ir un ordenador: se apaga con lo de authorithy o se bloquea.

te paso lo relativo a los analisis:

--

Mon Mar 20 19:06:35 2006

EliStartPage v11.36 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\VTUTS]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTUTS.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Mar 20 19:07:52 2006

EliStartPage v11.36 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\RECYCLER\S-1-5-21-2347674339-794323463-1364402979-500\Dc30.exe --> Eliminado, ISearch

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\BCVF73HW\MTE3NDI6ODoxNg[1].exe --> Eliminado, ISearch

----------

Logfile of HijackThis v1.99.1

Scan saved at 19:13:26, on 20/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\Notepad.exe

C:\Documents and Settings\Administrador\Configuración local\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://62.4.84.53/trafc-2/rfe.php?cmp=avs2&nid=dw&uid=52F07C7AB84011DAAE50000B6AC2AAE3&guid=240d09e4+7035E16672E84226BB34372A398A3EBF&aid=410&lid=as_01

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: RawExecAction Object - {18898424-E3AB-4BA9-8E8D-5434B1CECA75} - C:\WINDOWS\System32\vtuts.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ccRegVfy] "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [ccApp] "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [System Data Compliance] sdc.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\RunServices: [System Data Compliance] sdc.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142803805670

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: vtuts - C:\WINDOWS\System32\vtuts.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - c:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

Mensaje por **msc hotline sat** » 21 Mar 2006, 05:51

Pues envienos la muestra quie le pedimos, si no lo ha hecho ya !:

"Por favor, envienos una muestra del fichero

C:\WinLogon\VTUTS.DLL

a "virus@satinfo.es". Gracias"

Y actualice los parches de microsoft, que se detecta que no los tiene actualizados. Faltan todos los del SP2 y posteriores.

LANCE UN WINDOWSUPDATE !!!

Y eliminar las siguientes claves:

O2 - BHO: RawExecAction Object - {18898424-E3AB-4BA9-8E8D-5434B1CECA75} - C:\WINDOWS\System32\vtuts.dll

O4 - HKLM\..\Run: [System Data Compliance] sdc.exe

O4 - HKLM\..\RunServices: [System Data Compliance] sdc.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O20 - Winlogon Notify: vtuts - C:\WINDOWS\System32\vtuts.dll

y desinstala uno de los dos antivirus que tienes instalados, el Norton o el NOD, pero solo debe haber uno !!!

Y junto con el VTUST.DLL solicitada por el ELISTARA, envienos el SDC.EXE mejor a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique referencia REF VTUST y tras analizarlos le informaremos.

saludos

ms, 21-3-2006

Probablemente la 020 del WinLogon no la podrá eliminar. Es normal. Tras examinar la muestra implemnentaremos su control y eliminacion en la proxima version del ELISTARA, en la de hoy si llega antes del mediodia...

saludos

ms, 21-3-2006

sorzano · Mensaje por **sorzano** » 21 Mar 2006, 19:27

tenia desabilitadas las entradas de winlogon que te he señalado antes que me detectaba el spybot y ahora las he activado y me detecta el hijackthis algo mas, lo siento:(no he podido eliminar la clave 20 ni la 2).

--

--

Mon Mar 20 19:06:35 2006

EliStartPage v11.36 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\VTUTS]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTUTS.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Mar 20 19:07:52 2006

EliStartPage v11.36 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\RECYCLER\S-1-5-21-2347674339-794323463-1364402979-500\Dc30.exe --> Eliminado, ISearch

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\BCVF73HW\MTE3NDI6ODoxNg[1].exe --> Eliminado, ISearch

Tue Mar 21 19:01:16 2006

EliStartPage v11.36 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\VTUTS]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTUTS.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Mar 21 19:10:07 2006

EliStartPage v11.36 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\JKKLL]

Por favor, envienos una muestra del fichero

C:\WinLogon\JKKLL.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\VTUTS]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTUTS.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

------

----

Logfile of HijackThis v1.99.1

Scan saved at 19:10:42, on 21/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Administrador\Escritorio\EliStarA.exe

C:\Archivos de programa\Internet Explorer\Iexplore.exe

C:\Documents and Settings\Administrador\Configuración local\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://62.4.84.53/trafc-2/rfe.php?cmp=avs2&nid=dw&uid=52F07C7AB84011DAAE50000B6AC2AAE3&guid=240d09e4+7035E16672E84226BB34372A398A3EBF&aid=410&lid=as_01

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: RawExecAction Object - {18898424-E3AB-4BA9-8E8D-5434B1CECA75} - C:\WINDOWS\System32\vtuts.dll

O2 - BHO: (no name) - {20D57A66-F7DF-467d-907B-9B7F4A118AB7} - C:\WINDOWS\system32\jkkll.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142803805670

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: jkkll - C:\WINDOWS\SYSTEM32\jkkll.dll

O20 - Winlogon Notify: vtuts - C:\WINDOWS\System32\vtuts.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - c:\Archivos de programa\Norton AntiVirus\navapsvc.exe

Mensaje por **msc hotline sat** » 21 Mar 2006, 19:42

Pues envianos las muestras que te indica el ELISTARA !!!:

elistara escribió: Por favor, envienos una muestra del fichero
C:\WinLogon\JKKLL.DLL
a "virus@satinfo.es". Gracias.
[WinLogon\Notify\VTUTS]
Por favor, envienos una muestra del fichero
C:\WinLogon\VTUTS.DLL a "virus@satinfo.es". Gracias

Y para darles prioridad, envialas mejor a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique referencia REF VTUST y tras analizarlos le informaremos.

saludos

ms, 21-3-2006

sorzano · Mensaje por **sorzano** » 21 Mar 2006, 22:33

me temo que no puedo utilizar windowsupdate porque el ordenador se bloquea nada mas encenderlo y no deja hacer nada; esperare a que analiceis los archivos que os he enviado(si esque he sabido).

sorzano · Mensaje por **sorzano** » 21 Mar 2006, 23:12

ademas en modo seguro con funciones de red y sin ellas no me lee el modem de telefonica o no se yo.

Mensaje por **msc hotline sat** » 22 Mar 2006, 08:53

No, si no tienes ADSL a traves de router no puedes navegar en modo seguro ni con ni sin funciones de red, porque no se instalan los drivers del modem.

En 10 minutos llega el personal y veremos las muestras de esta noche, y si hay las tuyas les daremos prioridad.

saludos

ms, 22-3-2006

Mensaje por **msc hotline sat** » 22 Mar 2006, 11:47

Se ha procesado el VTUST.DLL y ya resultado ser una variante de un VUNDO clasico

Pasamos a implementar su control y eliminacion en la 11.38 del ELISTARA que estamos haviendo para hoy

Ahora hemos recibido con la misma referebncia otra DLL que en breve entrará en proceso a ver si llegamos a tiempo para incluirla en dicha version, si es que es malware.

saludos

ms, 22-3-2006

Mensaje por **msc hotline sat** » 22 Mar 2006, 12:26

La segunda muestra, una DLL de nombre JKKLL.DLL , ha sido identificada por algunos antivirus como malware, variante de Donnloader

ConHook si bien aun no lo detectan antivirus como: AVAST, BIT DEFENDER, NOD32, ...

mientras que otros ya sí lo detectan, como AVG , EWIDO, KASPERSKY, PANDA ...

Esta tarde subiremos a esta web la version 11.38 del ELISTARA que lo controlará y eliminará

saludos

ms, 22-3-2006

Mensaje por **msc hotline sat** » 22 Mar 2006, 19:09

Disponible las versiones de hoy del ELISTARA.EXE y ELINOTIF.DLL

Bajarlas a una misma carpeta, arrancar en modo seguro y ejecutar el ELISTARA y reiniciar

y contarnos el resultado, gracias

saludos

ms, 22-3-2006

sorzano · Mensaje por **sorzano** » 22 Mar 2006, 21:58

hola. he hecho lo que me has pedido y he tenido las siguientes incidencias. Al iniciar en modo seguro el maccafe me ha mostrado un mensaje de aviso

"la secuencia de comandos esta intentando ejecutar el metodo regRead en el objeto IWshShell3" y me lo ha mostrado 3 veces y las 3 he detenido el proceso como me lo pedia el macafe y a la tercera el ordenador se ha bloqueado y he tenido que desenchufarlo. luego lo he vuelto a intentar y he podido hacer todo lo que me pedias.(lo he hecho en propietario y en administrador, para acertar).

otra cosa que creo que es importante es que hace un par de dias o tres utilice el msconfig y desabilite unos servicios de norton y otro que creo que te interesa saber: "Local Security Authority Subsystem Service" de fabricante desconocido. ahora la voy ha activar (los de norton no) y te dejo como quedan los logs:

Mon Mar 20 19:06:35 2006

EliStartPage v11.36 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\VTUTS]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTUTS.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Mar 20 19:07:52 2006

EliStartPage v11.36 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\RECYCLER\S-1-5-21-2347674339-794323463-1364402979-500\Dc30.exe --> Eliminado, ISearch

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\BCVF73HW\MTE3NDI6ODoxNg[1].exe --> Eliminado, ISearch

Tue Mar 21 19:01:16 2006

EliStartPage v11.36 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\VTUTS]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTUTS.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Mar 21 19:10:07 2006

EliStartPage v11.36 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\JKKLL]

Por favor, envienos una muestra del fichero

C:\WinLogon\JKKLL.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\VTUTS]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTUTS.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 22 20:09:57 2006

EliStartPage v11.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\JKKLL] -> C:\WINDOWS\SYSTEM32\JKKLL.DLL

Key Eliminada [WinLogon\Notify\VTUTS] -> C:\WINDOWS\SYSTEM32\VTUTS.DLL

C:\WINDOWS\SYSTEM32\VTUTS.DLL --> Vundo (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\VTUTS.DLL --> Vundo (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\JKKLL.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\JKKLL.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\VTUTS.DLL --> Vundo (notify) Acceso Denegado.

C:\WINDOWS\System32\stutv.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{18898424-E3AB-4BA9-8E8D-5434B1CECA75}" -> C:\WINDOWS\System32\vtuts.dll

Eliminada Class, "{20D57A66-F7DF-467D-907B-9B7F4A118AB7}" -> C:\WINDOWS\system32\jkkll.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 22 20:14:33 2006

EliStartPage v11.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WinLogon\JKKLL.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WinLogon\VTUTS.DLL --> Eliminado, Vundo (notify)

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.6.03.22 (c)2005 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\jkkll"

Elininada Class {20D57A66-F7DF-467d-907B-9B7F4A118AB7}

C:\WINDOWS\system32\jkkll.dll -> Eliminado.

Detectado Vundo

Elininada KEY "Winlogon\Notify\vtuts"

Elininada Class {18898424-E3AB-4BA9-8E8D-5434B1CECA75}

Desinstalado EliNotif.dll

Wed Mar 22 20:18:50 2006

EliStartPage v11.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 22 20:22:54 2006

EliStartPage v11.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\vtuts.dll --> Eliminado, Vundo (notify)

Wed Mar 22 20:29:48 2006

EliStartPage v11.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 22 21:54:18 2006

EliStartPage v11.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

-------

------

Logfile of HijackThis v1.99.1

Scan saved at 21:53:35, on 22/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Administrador\Escritorio\forosantivirus\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://62.4.84.53/trafc-2/rfe.php?cmp=avs2&nid=dw&uid=52F07C7AB84011DAAE50000B6AC2AAE3&guid=240d09e4+7035E16672E84226BB34372A398A3EBF&aid=410&lid=as_01

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142803805670

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

hasta mañana por la tarde y gracias.

sorzano · Mensaje por **sorzano** » 22 Mar 2006, 22:04

me da miedo conectarme a internet porque el cabron del ordenador se bloquea y se actualizan los virus y yo no puedo utilizar windows update aunque a veces si.

Mensaje por **msc hotline sat** » 23 Mar 2006, 06:56

Bueno, lo conseguimos !!!:

[quote]
"Wed Mar 22 20:22:54 2006

EliStartPage v11.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\vtuts.dll --> Eliminado, Vundo (notify) "
[/quote]

Y sobre lo de miedo a nevegar, primero abra el navegador I.E.m vaya a herranientas y pulse en windowsupdate

Pues por falta de parches, has vuelto a infresar virus !!!

Elimina estas claves:

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll (file missing)

O4 - HKLM\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe

y tras eliminar estas claves y reiniciar, lance el HJT y trate de eliminar, si aun esta, la de :

O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)

ya que puede ser de un servicio ocultio de lo que estamos eliminando en las claves arriba indicadas

y cuentenos el resultado, gracias

saludos

ms, 23-3-2006