Problema con un virus (SOLUCIONADO)

joplacam · Mensaje por **joplacam** » 05 Oct 2006, 19:35

Tengo un problema con un virus, no se cual sera, le paso el programa HijackThis, k me a recomendao un amigo, y me sale esta lista, alguien podria ayudarme?:

Logfile of HijackThis v1.99.1

Scan saved at 19:22:09, on 05/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\ITE\Smart Guardian\ITESmart.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

C:\ARCHIV~1\PRINTV~1\pvmodule.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.EXE

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\GREGOR~1\CONFIG~1\Temp\Rar$EX00.672\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O3 - Toolbar: &VSToolBar - {821F87FF-8245-4972-9E28-732E92EC2F51} - C:\Archivos de programa\VSToolbar\VSToolBar.dll

O4 - HKLM\..\Run: [SmartGuardian] C:\Archivos de programa\ITE\Smart Guardian\ITESmart.exe

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [PVModule] C:\ARCHIV~1\PRINTV~1\pvmodule.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/02f51bc59680273e9d8c33cbeed46f9e_35.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2EC44C33-BFC2-44E9-B397-BFB66DD2280D}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Mensaje por **msc hotline sat** » 05 Oct 2006, 19:47

A simple vista hay spyware Quake

Pruebe el ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 5-10-2006

joplacam · Mensaje por **joplacam** » 05 Oct 2006, 20:09

e lanzado el programa, y me dice k si kiero limpiar el fichero HOSTS, k le digo, si o no?

joplacam · Mensaje por **joplacam** » 05 Oct 2006, 20:21

me sale esto al instalar el programa y reiniciar:

Thu Oct 05 20:08:53 2006

EliStartPage v12.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NDSLPAY.DLL.Muestra EliStartPage v12.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\CURSORS\NDSLPAY.DLL --> Acceso Denegado.

C:\WINDOWS\CURSORS\YAPLSDN.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{A43385F0-7113-496D-96D7-B9B550E3FCCA}" -> C:\WINDOWS\system32\ixt1.dll

Eliminada Class, "{B4557311-CB07-4090-BF15-29B75806B334}" -> C:\WINDOWS\Cursors\ndslpay.dll

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Oct 05 20:15:09 2006

EliStartPage v12.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Steam\steamapps\joplacam\half-life 2\bin\TRACKERNET.DLL --> Eliminado, MoviePass

C:\Archivos de programa\World of Warcraft\WOW-1.12.0-ENGB-PATCH.EXE --> Eliminado, Hotbar

C:\Archivos de programa\World of Warcraft\WOW-1.12.0.5595-TO-1.12.1.5875-ENGB-PATCH.EXE --> Eliminado, Hotbar

C:\Archivos de programa\World of Warcraft\WoW.esES\WOW-1.12.0.5595-TO-1.12.1.5875-ESES-PATCH.EXE --> Eliminado, Hotbar

C:\descargas\programas\6-8_XP-2K_DD_CCC_WDM_ENU_35179.EXE --> AutoExtraible

C:\descargas\programas\WOW-LANGUAGE-PACK-ESES.EXE --> Eliminado, Hotbar

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Thu Oct 05 20:21:53 2006

EliStartPage v12.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\NDSLPAY]

Por favor, envienos una muestra del fichero

C:\WinLogon\NDSLPAY.DLL

joplacam · Mensaje por **joplacam** » 05 Oct 2006, 20:22

perdon, no me e dao cuenta y no lo e puesto entero:

Thu Oct 05 20:08:53 2006

EliStartPage v12.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NDSLPAY.DLL.Muestra EliStartPage v12.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\CURSORS\NDSLPAY.DLL --> Acceso Denegado.

C:\WINDOWS\CURSORS\YAPLSDN.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{A43385F0-7113-496D-96D7-B9B550E3FCCA}" -> C:\WINDOWS\system32\ixt1.dll

Eliminada Class, "{B4557311-CB07-4090-BF15-29B75806B334}" -> C:\WINDOWS\Cursors\ndslpay.dll

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Oct 05 20:15:09 2006

EliStartPage v12.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Steam\steamapps\joplacam\half-life 2\bin\TRACKERNET.DLL --> Eliminado, MoviePass

C:\Archivos de programa\World of Warcraft\WOW-1.12.0-ENGB-PATCH.EXE --> Eliminado, Hotbar

C:\Archivos de programa\World of Warcraft\WOW-1.12.0.5595-TO-1.12.1.5875-ENGB-PATCH.EXE --> Eliminado, Hotbar

C:\Archivos de programa\World of Warcraft\WoW.esES\WOW-1.12.0.5595-TO-1.12.1.5875-ESES-PATCH.EXE --> Eliminado, Hotbar

C:\descargas\programas\6-8_XP-2K_DD_CCC_WDM_ENU_35179.EXE --> AutoExtraible

C:\descargas\programas\WOW-LANGUAGE-PACK-ESES.EXE --> Eliminado, Hotbar

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Thu Oct 05 20:21:53 2006

EliStartPage v12.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\NDSLPAY]

Por favor, envienos una muestra del fichero

C:\WinLogon\NDSLPAY.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\NDSLPAY.DLL.Muestra EliStartPage v12.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\CURSORS\NDSLPAY.DLL --> Acceso Denegado.

C:\WINDOWS\CURSORS\YAPLSDN.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{F95408EE-F7A4-4FF7-A80A-545C9C64583F}" -> C:\WINDOWS\Cursors\ndslpay.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

novatillo · Mensaje por **novatillo** » 05 Oct 2006, 20:42

Pues como podras ver te pide que mandes muestras

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.48

a "virus@satinfo.es". Gracias

C:\Muestras\NDSLPAY.DLL.Muestra EliStartPage v12.48

a "virus@satinfo.es". Gracias.

Una vez mandadas lo siguiente es descargate elistara y elinotif en una misma carpeta y la pones en C:WINDOWS/SYSTEM32 y lo ejecutas arrancando en modo seguro con simbolo de sistema

ELISTARA

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF

http://www.zonavirus.com/descargas/elinotif.asp

Tra ello postea el contenido del infosat.txt.

Saludos

Mensaje por **msc hotline sat** » 05 Oct 2006, 21:16

Los del foro de zonavirus mejor enviar las muestras asi:

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saludos

ms, 5-10-2006

novatillo · Mensaje por **novatillo** » 05 Oct 2006, 22:25

Perdona MSC no me acordaba de lo de mandar las muestras :oops:

Y para "joplacam" el resultado de elistara no me lo tienes que mandar a mi por privado debes de postearlo aqui en el foro para poder contemplar el resultado por todos los foreros asi que ya sabes postealo aqui.

Saludos.

Mensaje por **msc hotline sat** » 06 Oct 2006, 07:03

Muy bien novatillo lo de indicarle que copie el ELINOTIF.DLL ya que en este caso le hace falta

tras ello lanzar de nuevo el ELISTARA, reiniciar para terminar el proceso y postearnos de nuevo el infosat.txt

saludos

ms, 6-10-2006

joplacam · Mensaje por **joplacam** » 06 Oct 2006, 13:12

Gracias por todo, me di cuenta de k el problema k tenia era k me habia entrado el vundo. He buscado un programa y lo e resuelto los problemas k tenia. Muchas gracias por todo, hasta otra.

Mensaje por **msc hotline sat** » 06 Oct 2006, 13:15

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 6-10-2006