ayuda soy nueva.. * SOLUCIONADO)

lola · Mensaje por **lola** » 26 May 2006, 12:24

Hola! pego aqui lo mío, a ver si alguién podria ayudarme...

Logfile of HijackThis v1.99.1

Scan saved at 12:22:36, on 26/5/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\htpatch.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Microsoft Hardware\Keyboard\type32.exe

C:\WINDOWS\Logi_MwX.Exe

C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\Archivos de programa\ahead\InCD\InCD.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\9b71cf98.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Juan\CONFIG~1\Temp\Rar$EX02.391\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [IntelliType] "C:\Archivos de programa\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\Scansoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [9b71cf98.exe] C:\Documents and Settings\Juan\Configuración local\Datos de programa\9b71cf98.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: =>&Français - http:\\wordreference.com\fr\j\iefr119.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1021_ES_XP.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_5_ES_XP.cab

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} (IntDialerData Class) - http://www.grupomarineda.net/auto/DialerData.cab

O16 - DPF: {6986A6CF-9D58-11D6-91C2-00E02964E8E3} (IntPagomaster Class) - http://www.peterpaulxxx.com/iconos/dialer/pagomast.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://www.accesoplugin.com/dialercab/IberoDialerHTML.cab

O16 - DPF: {AD08A333-609E-11D3-950C-008098601567} - http://wordreference.com/Install/English%20to%20French.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Configuration Loading - Unknown owner - C:\WINDOWS\System32\svchos1.exe" -service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

gracias

Mensaje por **maura63** » 26 May 2006, 12:34

Envia una muestra de

C:\WINDOWS\system32\[color=red]9b71cf98.exe [/color]-

O4 - HKCU\..\Run: [9b71cf98.exe] C:\Documents and Settings\Juan\Configuración local\Datos de programa\9b71cf98.exe -

Conoces esto

O8 - Extra context menu item: =>&Français - http:\\wordreference.com\fr\j\iefr119.htm -

Estas ejecutas hijackthis, pulsa scan , marcas las casilla del lado izquierdo de estas entradas y pulsa en FIX, acepta

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll -

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1021_ES_XP.cab -

O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_5_ES_XP.cab -

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} (IntDialerData Class) - http://www.grupomarineda.net/auto/DialerData.cab -

O16 - DPF: {6986A6CF-9D58-11D6-91C2-00E02964E8E3} (IntPagomaster Class) - http://www.peterpaulxxx.com/iconos/dialer/pagomast.cab -

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://www.accesoplugin.com/dialercab/IberoDialerHTML.cab -

O16 - DPF: {AD08A333-609E-11D3-950C-008098601567} - http://wordreference.com/Install/English%20to%20French.cab -

O23 - Service: Configuration Loading - Unknown owner - C:\WINDOWS\System32\svchos1.exe" -service (file missing) -

Saludos

maura63

lola · Mensaje por **lola** » 26 May 2006, 12:46

No lo he entiendido muy bien maura...

y sobre el mensaje ese que he puesto? que me dices del de "warning..."

lola · Mensaje por **lola** » 26 May 2006, 12:49

en esos links que me pones, unos me sale que no se puede mostrar pag y los otros me salta el antivirus diciendome que hay virus y la poción "abortar conexión".... :?

Mensaje por **maura63** » 26 May 2006, 12:59

Esos links los tienes en tu ordenador, segun muestra el log.

Los que te digo que elimines procede como te he comentado.

Ejecutas el hijackthis con todos los programas cerrados, pulsa en scan, te apareceran al cabo de unos segundo una lista con las entradas comentadas y una casilla al lado izquierdo.

Marca la casilla de esas entradas dan click en el cuadrito, cuando esten marcadas las 8 entradas, pulsa en FIX y acepta.

Con eso las eliminaras.

El mensaje que comentas es propia de algun bichejo.

Por otro lado, busca [color=red]9b71cf98.exe [/color] lo copias a un diskete y lo comprimes en ZIP , lo anexas a un e:mail y lo envias a zonavirus@satinfo.es y le pones como referencia

REF9b71cf98.

Tras recibirlo y analizarlo se comentara el resultado y de ser positivo se añadira a una de las utilidades que se ofrecen.

Saludos

maura63

lola · Mensaje por **lola** » 26 May 2006, 13:53

Maura, me tengo que ir, lo haré el lunes y seguimos hablando.

Gracias por tu ayuda!! :wink:

Mensaje por **maura63** » 26 May 2006, 13:54

OK. lo dejamos pendiente hasta entonces.

Saludos

maura63

lola · Mensaje por **lola** » 29 May 2006, 10:26

Maura, estas en linea???

Sigo teniendo virus y creo que tengo un spyware me ha bloqueado una pág...

Mensaje por **maura63** » 29 May 2006, 10:37

Haz lo indicado tres casas mas arriba :lol:

Quiero decir que mandes el archivo indicado.

Descarga y lanzas esta utilidad

http://www.zonavirus.com/descargas/elistara.asp

Creara un fichero en C:/infosat.txt copianos aqui el resultado del mismo.

http://www.zonavirus.com/descargas/elitriip.asp

Saludos

maura63

lola · Mensaje por **lola** » 29 May 2006, 10:43

A ver...estoy volviendo a pasar el elistara ese....

Maura, creo que tnego un spyware... :?

Mensaje por **maura63** » 29 May 2006, 10:56

Pues descarga y una vez actualizados a fecha de hoy ejecuta

Spybot y Ad_aware, los encontraras en la zona de descargas.

Saludos

maura63

lola · Mensaje por **lola** » 29 May 2006, 11:17

Mon May 29 10:40:36 2006

EliStartPage v11.76 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINSTALL.EXE --> Eliminado DownLoader.AFH

C:\Documents and Settings\Juan\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "Windows Installer"="C:\winstall.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 29 10:44:16 2006

EliStartPage v11.76 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\LimeWire\LIMEWIREWIN.EXE --> AutoExtraible

C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

Mon May 29 11:07:11 2006

EliStartPage v11.76 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Mon May 29 11:07:15 2006

EliStartPage v11.76 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\NJ.EXE.VIR --> Eliminado, DownLoader.AFH

C:\Archivos de programa\Alwil Software\Avast4\ASH1.TMP --> Eliminado, Puper (BHO)

C:\Archivos de programa\Alwil Software\Avast4\ASHSHELL.DLL.VIR --> Eliminado, Puper (BHO)

C:\Archivos de programa\LimeWire\LIMEWIREWIN.EXE --> AutoExtraible

C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

Vale esto es lo que me ha puesto!!

el ad-ware lo tengo pero es inglés yt no me aclaro mucho.. :oops: el spy bot no lo tengo...los de la pag de descargas de aqui son en castellano?? como lo hago? uff perdóna por tantas molestias pero esque...

Mensaje por **msc hotline sat** » 29 May 2006, 11:42

Pues buena limpieza ha hecho el ELISTARA, ya que ha eliminado el PUPER (SPYAXE, SPYFALCON, etc) y este NJ.EXE que hubiera generado el WINSTALL.EXE con el consiguiente PESTRAP...

Agora, como le indicaba Maura63, envienos este fichero:

[quote="Maura63"]Por otro lado, busca 9b71cf98.exe lo copias a un diskete y lo comprimes en ZIP , lo anexas a un e-mail y lo envias a zonavirus@satinfo.es y le pones como referencia "REF 9b71cf98"
[/quote]

Tras recibirla la examinaremos e informaremos

saludos

ms, 29-5-2006

lola · Mensaje por **lola** » 29 May 2006, 11:47

hola, pero esque no se que fichero es ese.. :oops: no se lo que tengo que hacer..uff

Mensaje por **maura63** » 29 May 2006, 11:52

Pincha en INICIO y en BUSCAR introduce el nombre del fichero , lo buscara y cuando lo encuentre lo copias a diskett.

Si no te deja por estar en uso, arranca en modo seguro y buscas igualmente.

Saludos

maura63

lola · Mensaje por **lola** » 29 May 2006, 12:01

vale ya lo tengo pegado en el diskete, ahora que?

Mensaje por **msc hotline sat** » 29 May 2006, 12:14

Edita un mail en cuyo texto indiques la referencia "REF 9b71cf98" y le anexas el fichero en cuestion.

En cuanto lo recibamos lo examinaremos e infor,aremos, realizando o implementando en una de nuestras utilidad si control y eliminacion, si procede.

saludos

ms, 29-5-2006

lola · Mensaje por **lola** » 29 May 2006, 12:43

vale y a quién le envio el mail?

Mensaje por **maura63** » 29 May 2006, 12:59

Maura63 escribió:
[quote]Por otro lado, busca 9b71cf98.exe lo copias a un diskete y lo comprimes en ZIP , lo anexas a un e-mail y lo envias a zonavirus@satinfo.es y le pones como referencia "REF 9b71cf98" [/quote]

Saludos

maura63

lola · Mensaje por **lola** » 29 May 2006, 13:10

Maura, lo he enviado pero eso de comprimirlo no sabia hacerlo asi que lo he enviado como dats adjuntos

...

si no esta bien decidmelo y lo hago como me digais...

lola · Mensaje por **lola** » 29 May 2006, 13:20

Hola,

creo que ahora si os lo he enviado bien.

Perdón por el anterior... :oops:

Mensaje por **maura63** » 29 May 2006, 13:20

Si tienes instalado el winzip ó winrar, simplemente pincha con el boton secundario y clic en "añadir a...." con ellos lo comprimes.

Saludos

maura63

lola · Mensaje por **lola** » 29 May 2006, 13:24

Vale creo que a la tercera ha sido la vencida. ya lo teneis espero vuestra respuesta.

repito: muchas gracias por todooo

Mensaje por **maura63** » 29 May 2006, 13:25

Pues una vez que lo reciban y tras analizar, te comentaran el resultado del mismo.

Saludos

maura63

lola · Mensaje por **lola** » 29 May 2006, 13:28

oye, muchas gracias..

Así ellos ya me dirán lo que tengo que hacer no??

Que bien..no se como agradeceroslo...

Mensaje por **maura63** » 29 May 2006, 13:35

En caso de muestra positiva (virica) implementaran su control, eliminacion y restauracion de las claves modificadas en la utilidad oportuna.

Elistara, elitriIp etc...

Saludos

maura63

Mensaje por **msc hotline sat** » 29 May 2006, 16:32

Se ha recibido el fichero indicado en un mail sin referencia, y como texto hola soy la Lola !

Siga las instrucciones que le damos e indique las referencias que le indicamos, pues sino sus mails no llegarán a buen fin !

Aqui hay mas de 25 personas que no saben quien es la Lola !!!

El fichero en cuestion es un Downloader.N segun detecta el antivirus de McAfee

El analisis con VIRUSTOTAL reporta el siguiente resultado:

[quote="VirusTotal"]AntiVir 6.34.1.34 29.05.2006 TR/Download.AI.1

Authentium 4.93.8 28.05.2006 no ha encontrado virus

Avast 4.6.695.0 29.05.2006 no ha encontrado virus

AVG 386 29.05.2006 Downloader.Generic.XTB

BitDefender 7.2 29.05.2006 Trojan.Download.AI

CAT-QuickHeal 8.00 29.05.2006 TrojanDownloader.Tiny.bw

ClamAV devel-20060426 29.05.2006 no ha encontrado virus

DrWeb 4.33 29.05.2006 Trojan.DownLoader.7830

eTrust-InoculateIT 23.72.20 28.05.2006 Win32/Beenut.A!Trojan

eTrust-Vet 12.6.2232 29.05.2006 Win32/Beenut.A

Ewido 3.5 29.05.2006 Downloader.Tiny.bw

Fortinet 2.77.0.0 29.05.2006 W32/SMALL.BNO!tr

F-Prot 3.16f 29.05.2006 no ha encontrado virus

Ikarus 0.2.65.0 29.05.2006 Trojan-Downloader.Win32.Tiny.bw

Kaspersky 4.0.2.24 29.05.2006 Trojan-Downloader.Win32.Tiny.bw

McAfee 4771 26.05.2006 Generic Downloader.n

Microsoft 1.1441 29.05.2006 TrojanDownloader:Win32/Small!53E0

NOD32v2 1.1565 29.05.2006 a variant of Win32/TrojanDownloader.Small.CSN

Norman 5.90.17 29.05.2006 W32/Tiny.AQ

Panda 9.0.0.4 29.05.2006 Trj/Downloader.HYS

Sophos 4.05.0 29.05.2006 Troj/Tiny-BW

Symantec 8.0 29.05.2006 no ha encontrado virus

TheHacker 5.9.8.150 29.05.2006 Trojan/Downloader.Tiny.bw

UNA 1.83 26.05.2006 TrojanDownloader.Win32.Tiny

VBA32 3.11.0 28.05.2006 Trojan.DownLoader.7830
[/quote]

Procedemos a implementar su deteccion, control y eliminacion en la proxima version del ELISTARA que subiremos esta tarde a esta web

Descarguela sobre las 19 horas, ejecutela y tras reiniciar, nos comenta el resultado, gracias.

saludos

ms, 29-5-2006

lola · Mensaje por **lola** » 29 May 2006, 17:25

[quote="maura63"]En caso de muestra positiva (virica) implementaran su control, eliminacion y restauracion de las claves modificadas en la utilidad oportuna.

Elistara, elitriIp etc...

Saludos

maura63[/quote]

Hola he hecho todo lo que me has dicho.

te pongo el resultado del ad-aware en modo de prueba de fallos. el spybot me ha detectado un monton de entradas que en teoría el problema está solucionado. te pego lo del ad.aware:

Ad-Aware SE Build 1.05

Logfile Created on:lunes, 29 de mayo de 2006 16:44:29

Created with Ad-Aware SE Personal, free for private use.

Using definitions file:SE1R109 22.05.2006

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

MRU List(TAC index:0):4 total references

Tracking Cookie(TAC index:3):1 total references

Win32.Trojan.Downloader(TAC index:10):3 total references

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings

===========================

Set : Search for negligible risk entries

Set : Safe mode (always request confirmation)

Set : Scan active processes

Set : Scan registry

Set : Deep-scan registry

Set : Scan my IE Favorites for banned URLs

Set : Scan my Hosts file

Extended Ad-Aware SE Settings

===========================

Set : Unload recognized processes & modules during scan

Set : Scan registry for all users instead of current user only

Set : Always try to unload modules before deletion

Set : During removal, unload Explorer and IE if necessary

Set : Let Windows remove files in use at next reboot

Set : Delete quarantined objects after restoring

Set : Include basic Ad-Aware settings in log file

Set : Include additional Ad-Aware settings in log file

Set : Include reference summary in log file

Set : Include alternate data stream details in log file

Set : Play sound at scan completion if scan locates critical objects

29-5-2006 16:44:29 - Scan started. (Full System Scan)

MRU List Object Recognized!

Location: : software\microsoft\directdraw\mostrecentapplication

Description : most recent application to use microsoft directdraw

MRU List Object Recognized!

Location: : S-1-5-21-1960408961-583907252-725345543-1004\software\microsoft\internet explorer

Description : last download directory used in microsoft internet explorer

MRU List Object Recognized!

Location: : S-1-5-21-1960408961-583907252-725345543-1004\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru

Description : list of recent programs opened

MRU List Object Recognized!

Location: : S-1-5-21-1960408961-583907252-725345543-1004\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru

Description : list of recently saved files, stored according to file extension

Listing running processes

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]

FilePath : \SystemRoot\System32\

ProcessID : 124

ThreadCreationTime : 29-5-2006 14:43:17

BasePriority : Normal

#:2 [csrss.exe]

FilePath : \??\C:\WINDOWS\system32\

ProcessID : 172

ThreadCreationTime : 29-5-2006 14:43:30

BasePriority : Normal

#:3 [winlogon.exe]

FilePath : \??\C:\WINDOWS\system32\

ProcessID : 196

ThreadCreationTime : 29-5-2006 14:43:32

BasePriority : High

#:4 [services.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 240

ThreadCreationTime : 29-5-2006 14:43:37

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Sistema operativo Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Aplicación de servicios y controlador

InternalName : services.exe

LegalCopyright : Copyright (C) Microsoft Corporation. Reservados todos los derechos.

OriginalFilename : services.exe

#:5 [lsass.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 252

ThreadCreationTime : 29-5-2006 14:43:37

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : LSA Shell (Export Version)

InternalName : lsass.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : lsass.exe

#:6 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 424

ThreadCreationTime : 29-5-2006 14:43:41

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

#:7 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 492

ThreadCreationTime : 29-5-2006 14:43:43

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

#:8 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 536

ThreadCreationTime : 29-5-2006 14:43:44

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

#:9 [explorer.exe]

FilePath : C:\WINDOWS\

ProcessID : 748

ThreadCreationTime : 29-5-2006 14:43:57

BasePriority : Normal

FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 6.00.2900.2180

ProductName : Sistema operativo Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Explorador de Windows

InternalName : explorer

LegalCopyright : © Microsoft Corporation. Reservados todos los derechos.

OriginalFilename : EXPLORER.EXE

#:10 [ad-aware.exe]

FilePath : C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\

ProcessID : 860

ThreadCreationTime : 29-5-2006 14:44:15

BasePriority : Normal

FileVersion : 6.2.0.206

ProductVersion : VI.Second Edition

ProductName : Lavasoft Ad-Aware SE

CompanyName : Lavasoft Sweden

FileDescription : Ad-Aware SE Core application

InternalName : Ad-Aware.exe

LegalCopyright : Copyright © Lavasoft Sweden

OriginalFilename : Ad-Aware.exe

Comments : All Rights Reserved

Memory scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 4

Started registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 4

Started deep registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 4

Started Tracking Cookie scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : juan@atdmt[2].txt

Category : Data Miner

Comment : Hits:3

Value : Cookie:juan@atdmt.com/

Expires : 28-5-2011 2:00:00

LastSync : Hits:3

UseCount : 0

Hits : 3

Tracking cookie scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 1

Objects found so far: 5

Deep scanning and examining files (C:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Win32.Trojan.Downloader Object Recognized!

Type : File

Data : A0160261.exe

Category : Malware

Comment :

Object : C:\System Volume Information\_restore{E7426170-DB71-4DEA-80B3-909EA666A4AA}\RP543\

Win32.Trojan.Downloader Object Recognized!

Type : File

Data : A0160262.exe

Category : Malware

Comment :

Object : C:\System Volume Information\_restore{E7426170-DB71-4DEA-80B3-909EA666A4AA}\RP543\

Win32.Trojan.Downloader Object Recognized!

Type : File

Data : A0160263.exe

Category : Malware

Comment :

Object : C:\System Volume Information\_restore{E7426170-DB71-4DEA-80B3-909EA666A4AA}\RP543\

Disk Scan Result for C:\

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 8

Scanning Hosts file......

Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

1 entries scanned.

New critical objects:0

Objects found so far: 8

Performing conditional scans...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 8

17:11:41 Scan Complete

Summary Of This Scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Total scanning time:00:27:11.969

Objects scanned:136077

Objects identified:4

Objects ignored:0

New critical objects:4

ArchiveData(auto-quarantine- 2006-05-29 17-13-18.bckp)

Referencefile : SE1R109 22.05.2006

======================================================

TRACKING COOKIE

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

obj[0]=IECache Entry : Cookie:juan@atdmt.com/

WIN32.TROJAN.DOWNLOADER

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

obj[1]=File : C:\System Volume Information\_restore{E7426170-DB71-4DEA-80B3-909EA666A4AA}\RP543\A0160261.exe

obj[2]=File : C:\System Volume Information\_restore{E7426170-DB71-4DEA-80B3-909EA666A4AA}\RP543\A0160262.exe

obj[3]=File : C:\System Volume Information\_restore{E7426170-DB71-4DEA-80B3-909EA666A4AA}\RP543\A0160263.exe

Mensaje por **maura63** » 29 May 2006, 17:34

[quote]Procedemos a implementar su deteccion, control y eliminacion en la proxima version del ELISTARA que subiremos esta tarde a esta web

Descarguela sobre las 19 horas, ejecutela y tras reiniciar, nos comenta el resultado, gracias.

saludos

ms, 29-5-2006[/quote]

Ya sabes, desgarla la nueva version a ultima hora de la tarde.

Saludos

maura63

lola · Mensaje por **lola** » 29 May 2006, 17:37

1000 GRACIASSSS!! YA OS CONTARÉ!!