No me deshago del icono ni del aviso de virus (SOLUCIONADO)

[kissy24]

Wed Jun 14 11:34:47 2006

EliStartPage v11.87 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\DCOMCFG.EXE.Muestra EliStartPage v11.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DCOMCFG.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\SIMPOLE.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\REGPERF.EXE.Muestra EliStartPage v11.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\REGPERF.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\SPYWAREQUAKE.COM\SPYWARE-QUAKE.EXE --> Eliminado SpywareQuake (antispy)

Por favor, envienos una muestra del fichero

C:\Muestras\HP100.TMP.Muestra EliStartPage v11.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HP100.TMP --> Eliminado

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

Eliminada Class, "{686A161D-5BD1-4999-8832-6393F41E564C}" -> C:\WINDOWS\system32\hp100.tmp

Eliminada Carpeta "%WinSys%\1024"

Eliminada Carpeta "%Archivos de Programa%\Media-Codec"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jun 15 10:13:12 2006

EliStartPage v11.88 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos de Programa%\SpywareQuake.com"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jun 16 16:11:42 2006

EliStartPage v11.90 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jun 16 16:26:35 2006

EliStartPage v11.90 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\System Volume Information\_restore{28A9C420-C064-47C6-852D-52A20A3341CC}\RP55\A0011279.EXE --> Eliminado, SpywareQuake (antispy)



Tue Jun 20 12:40:56 2006

EliStartPage v11.91 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jun 20 12:41:37 2006

EliStartPage v11.91 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\LD100.TMP --> Eliminado, Puper

C:\WINDOWS\Temp\SA191.EXE --> Eliminado, SpywareQuake (install)

C:\System Volume Information\_restore{28A9C420-C064-47C6-852D-52A20A3341CC}\RP55\A0011276.EXE --> Eliminado, Puper (dropper)

C:\System Volume Information\_restore{28A9C420-C064-47C6-852D-52A20A3341CC}\RP55\A0011278.EXE --> Eliminado, Puper (dldr)

C:\Muestras\DCOMCFG.EXE.MUESTRA ELISTARTPAGE V11.87 --> Eliminado, Puper (dropper)

C:\Muestras\REGPERF.EXE.MUESTRA ELISTARTPAGE V11.87 --> Eliminado, Puper (dldr)

C:\Muestras\HP100.TMP.MUESTRA ELISTARTPAGE V11.87 --> Eliminado, Puper (BHO)



Hola, voy a enviar las muestras, y veré si despues de reiniciar desaparece el dichoso icono!



Mil gracias.

[kissy24]

Uys, he ido al disco C a buscar las muestras y tengo la carpeta vacia... he hehco algo mal??

[kissy24]

Ahi sigue el icono :cry: :cry:

[msc hotline sat]

La 11.91 ya controla las muestras que tenias em C:\Muestras y las ha eliminado



No es por el PUPER conocido, puede ser por cualquier otro Spy... desconocido, DLL, etc, pero si no es mas que el icono, ya lo controlaremos tarde o temprano y nos lo cargaremos



Al no aparecer en el log del HJT no puede saberse lo que eliminar, a no ser que fiera de alguno de los spy... controlados por nuestras utilidades.



Si quieres, ahora, ya sin los ultimos bichos, arranca en modo seguro y lanza un HJT y nos posteas el log, y le daremos un vistazo para rematar el Tema



saludos



20-6-2006



saludos

[blackjoker]

hola, yo soy nuevo, y por lo visto tengo el mismo problema q aqui se trata. Trate de buscar ayuda, mi avg no encuentra ningun virus. Voy a hacer como dicen aca, reiniciar en modo seguro y pasar el HJT y postear el log. De antemano el spyware quake lo borre, pero me sigue saliendo ese cartel molesto. Posteo el log, y escuchio cualquier ayuda, desde ya mil gracias

[blackjoker]

aca pego el log:



Logfile of HijackThis v1.99.1

Scan saved at 11:03:34 p.m., on 21/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\HJT\HijackThis.exe



O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SysService] C:\Archivos de programa\NSkeylogger\SERVICES.EXE

O4 - HKLM\..\Run: [NVMixerTray] "C:\Archivos de programa\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe

O4 - Global Startup: HotSync Manager.lnk = C:\Archivos de programa\palmOne\Hotsync.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Download &All using Mass Downloader - file://C:\Archivos de programa\mass dowloader\Add_All.htm

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Ajuste del explorador - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Companion\Modules\messmod2\v4\yhexbmes.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Companion\Modules\messmod2\v4\yhexbmes.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\permeo\e-border driver\s5spi.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\permeo\e-border driver\s5spi.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\permeo\e-border driver\s5spi.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\permeo\e-border driver\s5spi.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\permeo\e-border driver\s5spi.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\permeo\e-border driver\s5spi.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} (OCXDownloadChecker Control) - http://mail.hacoaj.org.ar:85/cab/OCXChecker_6110.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: c:\archiv~1\agnitum\outpos~1\wl_hook.dll MsgPlusLoader.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[msc hotline sat]

No, blackjoker, no tiene nada que ver con este Tema, pero ya que lo ha editado aqui le contesto, si bien si desea algo mas al respecto, hagalo en Tema nuevo aparte



este SERVICES.EXE es muy sospechoso_



C:\Archivos de programa\NSkeylogger\SERVICES.EXE



Envienos este fichero a zonavirus@satinfo.es anexado a un mail en cuyo texto iundique como referencia REF BLACK y tras analizarlo, impolementarenois su coinrril y eliminacion en nuestras utulidades, si procede e informaremos





De momento una vez enviado, renombrelo a .BAK y reinicie



Aparte tiene los O10 que debe tratar con el LPSFIX:



[url=http://www.zonavirus.com/descargas/lsp-fix.asp][b]Descargar LSP-FIX[/b][/url]



· [url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp][b]Manual LSP-FIx[/b][/url] (Español)





y desinstale el MSGPLUS que es un foco de troyanos !



saludos



ms. 22-6-2006

[kissy24]

Buenos días.



Siento no haber podido contestar antes pero he estado con mi padre en el hospital.



El icono ha desaparecido por arte de magia, sugpongo que al eliminar el foco, ha muerto jaja.



Ahora, de vez en cuando sin ni siquiera conectar a internet, me sale un aviso de avg de intento de troyano o algo así, pero él mismo lo bloquea, así que ahora el pc funciona perfectamente.



Una vez más, muchísimas gracias

[msc hotline sat]

Pues me alegro kissy24 y reciba mis deseos de que su padre se restablezca pronto



Y solucionado el problema. propcedemos a cerrar el Tema



saludos



ms, 22-6-2006