Virus?

[Colchy]

Creo que tengo un virus, Norton 2005 no me lo detecta y McAffie(online) lo he pasado y tampoco.



Los sintomas son los siguientes: (Uso un router)

-No me deja comunicarme por el messenger

-No me deja abrir pag. web.

-No me deja acceder al router, por la puerta de enlace.



Creo que tiene algo que ver con los puertos, que los cierra y me deja el ordenador aislado, porque hago un netstat en ms-dos y no me sale ninguna conexion.

Posibles virus: *svchost.exe* y *srshost.exe* (segun McAffie estan eliminados pero siguen apareciendo en los procesos despues de reiniciar)



Aver si me podeis ayudar, gracias !

[msc hotline sat]

Deciamos que el gusano del SRSHOST lo controlabamos con el ELITRIIP

Descargalo y pruebalo:


ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp


Tras reiniciar nos cuentas el resultado, gracias

saludos

ms. 1.5.2006

[msc hotline sat]

Colchy
Novato



Registrado: 01 May 2006
Mensajes: 2

Publicado: Mie May 03, 2006 10:23 pm Asunto: virus y continuacion.... (CERRADO)

--------------------------------------------------------------------------------

Despues de aver utilizado ELITRIIP, los problemas persisten...los mismos sintomas.

He pasado el norton de nuevo, pero esta vez en modo a prueba de fallos per0 sigue sin decectarme nada...

Esto ya se sale de mis conocimientos.

Gracias

Volver arriba


msc hotline sat
Administrador



Registrado: 09 Mar 2004
Mensajes: 16101
Ubicación: BARCELONA (ESPAÑA)
Publicado: Jue May 04, 2006 7:12 am Asunto:

--------------------------------------------------------------------------------

No sé porqué está cerrado. Sigue allí que lo he reabierto y posteanos el log del HJT:



¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis



saludos

ms, 4-5-2006

[Colchy]

Aqui esta el resultado del hijackthis:(cuando todavía funciona el internet.

Código: Seleccionar todo

Logfile of HijackThis v1.99.1
Scan saved at 14:03:50, on 04/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\ARCHIV~1\DAP\DAP.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\ARCHIV~1\IZArc\IZArc.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Archivos de programa\DAP\DAPIEBar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Archivos de programa\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Software Update] "c:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [saap] c:\archivos de programa\180searchassistant\saap.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/activex/zylomgamesplayer.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing)
O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett Packard Company - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

[msc hotline sat]

Tienes varios troyanos, el MyWay, 180 Solutions y usando el DAP tendrás mas... Desinstalalo !

Aparte de faltan parches, todos los del SP2 y posteriores. Actualiza con windowsupodate !!!

Tras ello sigue lo indicado en el tutorial de antispywares:



t por ultimo lanza el ELISTARA


ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp


tras ello reinicia y nos indicas el resultado, y si poersiste algu n problema, postea el log del HJT de entonces, gracias

saludos

ms, 4-5-2006

[Colchy]

Windows es como las mujeres, no podemos trabajar con el, pero tampoco vivir sin el[ODIO windows]...Despues de esta pequeña reflexion os paso el ultimo log del HjT:

Código: Seleccionar todo

Logfile of HijackThis v1.99.1
Scan saved at 18:25:28, on 04/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\Nueva carpeta\HijackThis.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9ba2f3286bfc1c9ace73bf5b132b3b54\update\update.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Archivos de programa\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Software Update] "c:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/activex/zylomgamesplayer.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing)
O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett Packard Company - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Yo creo que ya mas o menos esta medio limpio.

Oie que se me olvidaba, MUCHISIMAs felicidades por que teneis esto muy bien montado

[maura63]

Elimina





R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =



O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll -

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) -

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) -

O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing) - UnknownO20 - Winlogon Notify: SensSrv - senssrv.dll (file missing) -

O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll - Unknown





Y recuerda el comentario de usar el DAP





Saludos

maura63

[Colchy]

Ya esta todo eliminado, tanto el DPA como lo que me has dicho.

Espero se solucione :)

A ver si al igual que me habeis ayudado, puedo ayudar a alguien yo.



Como sabes lo que hay que eliminar y lo que no?

Teneis un log del Hjt que este limpio de todo?



Gracias

[msc hotline sat]

No exactamente.

Con método, experiencia y conocimientos al respecto, como con todas las cosas y profesiones.


y espero que con lo indicado quede resueltp el problema. Tras reiniciar, mira si persiste algún problema o podemos dar por solucionado el Tema y nos lo indicas, gracias

saludois

ms,4-5-2006

[Colchy]

Gracias por la info, me la leere atentamente.

Lo malo del post es que esto sigue dando problemas y voy a acabar formateando el disco, la solucion facil pero a la vez efectiva....No se ya que puede ser...por que despues de aver echo todo, supuestamente deberia de averse solucionado nO?

Os pongo el log del Hjt ya con lo que me has dicho borrado y el SP2 bajado:

Código: Seleccionar todo

Logfile of HijackThis v1.99.1
Scan saved at 20:06:47, on 04/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\hijackthis\Nueva carpeta\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Archivos de programa\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Software Update] "c:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/activex/zylomgamesplayer.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett Packard Company - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

[msc hotline sat]

Esta clave ha persistido:

O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll

Lanza el ELISTARA y saldremos de dudas:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp


Tras ello posteanbos el contenido de C:\infosat,txt

saludos

ms, 4-5-2006

[Colchy]

Te pongo el infoSat y ahora despues, si me lo afirmas mando la muestra del fichero ´´SRSHOST.EXE`` como dice.

Código: Seleccionar todo

	  Tue May 02 20:20:07 2006
EliTriIP v2.13  (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\THEMATRIXHASYOU.EXE --> Eliminado
C:\WINDOWS\SYSTEM32\IMAS3R --> Eliminado
Por favor, envienos una muestra del fichero
C:\DOCUME~1\USUARIO\CONFIG~1\TEMP\SRSHOST.EXE.Muestra EliTriIP v2.13
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\SRSHOST.EXE --> Renombrado a .VIR
Entrada Eliminada [HKLM\...\RunServices] "0mcamcap"="C:\WINDOWS\System32\0mcamcap.exe"
Entrada Eliminada [HKLM\...\Run] "Microsoft Windows System"="srwhost.exe"
Entrada Eliminada [HKLM\...\RunServices] "Microsoft Windows System"="srwhost.exe"
Entrada Eliminada [HKCU\...\Run] "srshost.exe"="C:\WINDOWS\system32\srshost.exe"

	  Tue May 02 20:33:26 2006
EliTriIP v2.13  (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\SRSHOST.EXE.VIR --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Microsoft Windows System"="srwhost.exe"
Entrada Eliminada [HKLM\...\RunServices] "Microsoft Windows System"="srwhost.exe"

	  Thu May 04 18:17:51 2006
EliStartPage v11.62  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\PS.A3D --> Eliminado 
C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\1.BIN\MYBAR.DLL --> Eliminado MyWebSearch (MWS)
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\WINSOFTWARE\CRXML.DLL --> Eliminado WinFixer 2005
C:\Documents and Settings\Usuario\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "saap"="c:\archivos de programa\180searchassistant\saap.exe"
Eliminada Class, "{014DA6C9-189F-421A-88CD-07CFE51CFF10}" -> C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
Eliminada Class, "{0494D0D1-F8E0-41AD-92A3-14154ECE70AC}" -> C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
Eliminada Class, "{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}" -> C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
Eliminada Class, "{1D6711C8-7154-40BB-8380-3DEA45B69CBF}" -> C:\WINDOWS\Downloaded Program Files\WebP2PInstaller.dll
Eliminada Carpeta "%WinDir%\LastGood"
Eliminada Carpeta "\Program Files\SpySheriff"
No detectado Parche MS06-001 de Microsoft instalado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu May 04 18:20:40 2006
EliStartPage v11.62  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%Archivos Comunes%\WinSoftware"
Eliminada Carpeta "%Archivos de Programa%\MyWay"
No detectado Parche MS06-001 de Microsoft instalado.

	  Thu May 04 21:09:32 2006
EliStartPage v11.63  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\PS.A3D --> Eliminado 
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu May 04 21:38:40 2006
EliStartPage v11.63  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\PS.A3D --> Eliminado 
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu May 04 21:39:57 2006
EliStartPage v11.63  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Sonic\Express Labeler\STAX.EXE --> Eliminado, StartPage-IN
C:\Archivos de programa\Soulseek\UNINSTALL.EXE --> AutoExtraible
C:\Documents and Settings\Usuario\Mis documentos\Mis archivos recibidos\SLSK156C.EXE --> AutoExtraible

Segun mi entendimiento lo unico que tenia el jueves 4 de mayo, hoy es el programa que cambia la pag. de inicio, nada que ver con lo que me pasa
Esta clave no se elimina, por lo cual persiste:

O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll

Lo he intentado en modo a prueba de fallos, pero tampoco.
SpyBot Search & Destroy 1.4 me a puesto para elminar Windows Securyty center AntivirusOverride y Windows Securyty center AntivirusOverride FirewallOverride. Ha sido los unicos que ha encontrado y le he dixo que no los elimine.

¿Rarro = Interesante? Me gustan los retos

[msc hotline sat]

Efectivamentem debes enviarnos la muestra solcitada, y añade a ella esta DLL, pero para ello has de arrancar en modo seguro para poder copiarla, y luego enviarnosla en modo normal:



C:\WINDOWS\SYSTEM32\xptptt.dll



Es lo mas importante, pues se trata de un HAXDOOR con RootKit incluido que oculta los ficheros cuando está en uso, y por eso no lo ve el ELISTARA,. Posiblemente si lo lanzas en modo seguro lo verá y pedirá muestra, pruebalo.



Cuando recibamos las muestras, implementaremos su control, y eliminacion si procede, en nuestras utilidades, ELITRIIO, ELISTARA y para esta DLL ultima, tambien el ELINOTIF.DLL que serña becesario copuar en la misma carpeta que el ELISTARA para que la puede usar éste para la eliminacion del bicho.



Ver maraña de este bicho en:



http://castlecops.com/o20list-182.html



para tratar con mas rapidez las muestras, envie las dos pedidas empaquetadas en un ZIP con password "VIRUS" , anexado a un mail en cuyo texto indique referencia "REF xptptt"



Tras recibirlas las examinaremos e informaremos



saludos



ms, 5-5-2006



Nota: Salgo de viaje esta tarde. Si las envias pronto lo haremos hoy, sino habrás de esperar a mi vuelta, dentro de 10 dias. ms.

[Colchy]

Mi preocupacion aunmenta a la misma velocidad que mi conocimiento.



El ultimo escaneo de Elistara esta pasado en Modo a prueba de fallos.... :shock:



Instalando el ´´Fix .dll error Instantly`` que me has pasado se solucionaran los problemas?? En cuanto llege a mi casa, te lo envido cerca de las 15 h.



No se si dara tiempo, pero bueno supongo que puedo esperar 10 dias.



Saludos y buen viaje

[msc hotline sat]

Llegadas las 12 horas del mediodia que es cuando cerramos la entrada normal de nuevas muestras a examinar el mismo día, y dado el especial caso de este Tema, emito este post de URGENCIA para el envio de las muestras si quieres que sean controladas hoy, precisandolas recibir URGENTEMENTE, procurando darles entrada prioritaria para incluirlas en las utilidades de hoym pero si no se reciben antes de las 13 horas como tope, lamentandolo mucho no podrán ser atendidas hoy.



A VER SI PUEDES ENVIARLAS YA !!!



saludos



ms, 5-5-2006

[msc hotline sat]

No sé de qué me hablas ???:


[quote]´´Fix .dll error Instantly[/quote]

y ya es tarde, pero envianosla cuando llegues a casa, a ver si de 3 ½ a 4 puedo hacer algo...,



Igual podemos hacer algo y yo enviarlo desde donde esté...



Pero enviala tan pronto puedas !



ms, 5-5-2006

[msc hotline sat]

Para asegurar que podamos disponer de los ficheros necesarios para hacer la utilidad, como que tenmos otros HAXDOOR similares que utilizan RootKit de ocultacion, arrancando en modo seguro mira de conseguir los siguientes ficheros:



xptptt.dll (este seguro que lo tienes)



xptpmm.sys - que será el rootkit



sd.sys que sera complemento de los anteriores



sd.dll que sera complemento de los anteriores





Estos 4 ficheros se supone que serán los que utilizará este Rootkit, segun descripcion de Sophos que entendemos hace relacion a dicho bicho:



http://www.sophos.com/virusinfo/analyses/trojhaxdoorbn.html



A ver si los encientra todos y nos los envia



saludos



ms, 5-5-2006

[Colchy]

:shock: :shock: :shock: Mas estraño aun.... entre en modo a prueba fallos, le di a buscar y supe el nombre completo,´´xptptt.dll`` como no encontre nada le quite lo de .dll y tampoco...pense vamos a acerlo manualmente, voy a System32, Herramientas -Opciones de carpeta -Ver todos los archivos y carpetas ocultas, me pongo a buscarlo y para mi asombro no lo encuentro.... :S :S Est0 ya es el colmo...Existe alguna otra forma de buscarlo? No tengo ninguno de los que me as dicho.... :shock:



[Perdon por el retraso, pero esque un amigo mio nada mas salir del insti a tenio un accidente con la moto y me tenio que ir con él]

Saludos

[msc hotline sat]

Pues siento lo de tu amigo! Lo otro puede esperar...



Ya no estoy en el trabajo pues como te he dicho estaré fuera durante 10 dias, Y SIN INTERNET !!! pero desde un portatil con wifi te edito estas ultimas lineas:



Un RootKit como el que tienes, oculta clavbes y ficheros de su interes, y aunque los tengas no los vas a ver facilmente ...



Si quieres y sabes o tienes alguien que sepa manejarse en MSDOS, la manera que los podras ver y copiar es arrancando con el CD de instalacion y seleccionando R para entrar en consola de recuperacion y como que no se utiiza para nada el disco duro con dicho arranque (incluso sin disco duro puedes arrancar así), no se carga el RootKit y bes los ficheros, y a los ocultos o desistema o de solo lectura, con el ATTRIB les cambias el atributo y listos para copiarlos, a otra parte y asi poderlos luego enviar



Porque la clave de WinLogon se carga antes que nada, incluso arrancando en modo seguro, por ello hemos de apoyar el





lo siento, me voy



Haz lo indicado



saludos



ms

[Colchy]

Que pu...CENSURED :!: El portatil no tiene disquetera....Voy a intentar hacer una chapuza ...copiar un disco de arranke en un CD y hacer el booteo desde el CD :o No creo que funcione...si no compartire el disco duro entero por red, y a ver si desde el ordenador de mi padre lo veo.




[quote] ...Y SIN INTERNET !!! [/quote]

Es peor que una droga....



Buen viaje de nuevo, aH y lo de mi amigo al final no ha sido nada :)

[Colchy]

Perdonar el retraso, pero esque he estado muy liado.



Ya se como sacar los archivos, con una Knoppix en Live Cd, e conseguido los 4 que me pedias y los e echo un zip, pero el problema viene a la ora de pasarlos al disco duro o grabarlo en algun sitio que no te deja xk el disco duro es NTFS y demas....

Total el miercoles me dejan una grabadora externa y despues mando el virus :)





Muchas gracias tod0sS





P.D: Veo que has trabajado Maura 8)

[maura63]

Siempre hay alguien al pie del cañon.



:mrgreen:



Saludos

maura63

[Colchy]

Hoy dia miercoles, 10 de mayo aproximadamente a las 14:50, los archivos del virus han sido enviados :D



Espero atentamente el antivirus :)

[maura63]

Bueno pues un poco de paciencia, Msc estara de regreso el lunes .



Saludos

maura63

[bettydelavega]

[b] que tal tengo un problema serio cada que entro....¡¡



mil gracias



:?: [/b]



[b][color=red]Intervenido:[/color][/b]



Mejor abre un tema nuevo y no mezclar temas completamente distintos.



Saludos

maura63

[maura63]

Enviado mensaje privado para que postee su problema en un nuevo tema.



Saludos

maura63

[Colchy]

Despues de tanto tiempo no estaba olvidado, el problema ha sido solucionado.



He conseguido el BitDefender original y las actualizaciones y al menos lo bloquea.



Puedes dar el tema por cerrado y cuando puedas añadir al anti xptpp.dll :D



Un saludo y gracias

[msc hotline sat]

Pues me lo perdí con mi viaje !



A la vuelta veo que aun ronda el Tema y que dices haber enviado el xptpp.dll que mañana harñe buscar, pues no nos consta su control en nuestras utilidades.



Si la guardaste en alguna parte, vuelvela a enviar oues igual no llegamos a recibirla



De todas formas ,añama te diré alfop al respecto



saludos



ms, 24-5-2006

[msc hotline sat]

A ver, el fichero no se llama como ultimamente dices sino, xptptt.dll y tal como estaba previsto se cntroló en su dñia con el ELISTARA y el ELINOTIF.DLL necsario este ultimo al tratarse de un HAXDOOR.



Baja las dos utilidades ELISTARA.EXE Y ELINOTIF.DLL a una misma carpoeta, arranca en modo seguro y lanza el ELISTARA, y tras reiniciar luego normalmente, quedarña eliminado el bicho.





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Ver que en la puesta al dia de dichas versiones, tras mi viaje, se informí de su control tanto en el ELISTARA como en el ELINOITIF:



https://foros.zonavirus.com/viewtopic.php?t=11728



(versiones 11.64 y 11.67 del ELISTARA y ---v1.6.05.05 del ELINOTIF)



Pruebalo y nos comentas el resultado, gracias



saludos



ms, 25-5-2006