me gustaria eliminar PSW.x-vir. GRACIAS (SOLUCIONADO)

[gomodi]

[b]AQUI OS MANDO EL LOG. [/b]



Logfile of HijackThis v1.99.1

Scan saved at 17:48:05, on 06/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Autodesk Network License Manager\lmgrd.exe

C:\Archivos de programa\Autodesk Network License Manager\adskflex.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\isnotify.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\SCANJET\PrecisionScanLT\hppwrsav.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Ares Lite Edition\AresLite.exe

C:\Archivos de programa\uTorrent\uTorrent.exe

C:\WINDOWS\system32\devldr32.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O3 - Toolbar: &VSToolBar - {821F87FF-8245-4972-9E28-732E92EC2F51} - C:\Archivos de programa\VSToolbar\VSToolBar.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [iqzryh.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\iqzryh.dll,fuqiuxc

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [areslite] "C:\Archivos de programa\Ares Lite Edition\AresLite.exe" -h

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKCU\..\Run: [µTorrent] "C:\Archivos de programa\uTorrent\uTorrent.exe"

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Btapuio01 - IVT Corporation - (no file)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: NetLimiter (nlsvc) - Unknown owner - C:\Archivos de programa\NetLimiter 2 Lite\nlsvc.exe (file missing)

O23 - Service: viz 2005 - Macrovision Corporation - C:\Archivos de programa\Autodesk Network License Manager\lmgrd.exe

[msc hotline sat]

VIRUSBURST---PUPER---isamonitor--ELISTARA

(PSW.x-vir) - ficheros en carpeta *codec*





Prueba el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 6-10-2006

[gomodi]

Fri Oct 06 19:00:40 2006

EliStartPage v12.49 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\ISNOTIFY.EXE.Muestra EliStartPage v12.49

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISNOTIFY.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.49

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DDAWX.DLL.Muestra EliStartPage v12.49

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDAWX.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\XWADD.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario).

Eliminada Class, "{A43385F0-7113-496D-96D7-B9B550E3FCCA}" -> C:\WINDOWS\system32\ixt1.dll

Eliminada Class, "{B2A3156E-3332-4b47-AF5A-5B121503514F}" -> C:\Archivos de programa\Common Files\Companion Wizard\WapCHK.dll

Eliminada Class, "{CBCC61FA-0221-4CCC-B409-CEE865CACA3A}" -> C:\Archivos de programa\ToolBar888\MyToolBar.dll

Eliminada Class, "{C4F0A9E4-8C64-4DFC-8111-51E47A0901FE}" -> C:\WINDOWS\system32\ddawx.dll

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Oct 06 19:02:00 2006

EliStartPage v12.49 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\AutoCAD 2004\ADIMON2.DLL --> Eliminado, AltNet

C:\Documents and Settings\Administrador\Escritorio\D\ETSAc\curso 05_06\p\Overnet\UNINSTALL_OVERNET.EXE --> AutoExtraible

C:\Documents and Settings\Administrador\Escritorio\D\javier\instaladores\PF-SETUP-EN.EXE --> AutoExtraible

C:\Documents and Settings\Administrador\Escritorio\D\programas\Overnet\UNINSTALL_OVERNET.EXE --> AutoExtraible

C:\WINDOWS\Escritorio\Riky\WZESP90_RIKY.EXE --> Eliminado, Guiños(msn)

C:\WINDOWS\system32\RQRSRON.DLL --> Eliminado, DownLoader.ConHook (notify)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Fri Oct 06 19:11:15 2006

EliStartPage v12.49 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\DDAWX.DLL.Muestra EliStartPage v12.49

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDAWX.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\XWADD.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{3CE29775-4126-449A-934F-ECB61137F073}" -> C:\WINDOWS\system32\ddawx.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Oct 06 19:13:52 2006



TRAS HACER LOS PASOS QUE ME DIJISTE, me ha puesto algo acerca del Vundo ,no se si es un virus.

aki t mando el post q me pediste.

gracias

EliStartPage v12.49 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Administrador\Escritorio\D\ETSAc\curso 05_06\p\Overnet\UNINSTALL_OVERNET.EXE --> AutoExtraible

C:\Documents and Settings\Administrador\Escritorio\D\javier\instaladores\PF-SETUP-EN.EXE --> AutoExtraible

C:\Documents and Settings\Administrador\Escritorio\D\programas\Overnet\UNINSTALL_OVERNET.EXE --> AutoExtraible

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

[koga]

Descarga este complemento del Elistara y guarda ambos (Elistara y Elinotif.dll) en una misma carpeta con el nombre Elistara, luego lanza el Elistara y envie las muestras si Elistara lo pidiera.



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp





Todas las muestras que se piden al respecto, las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podran informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaran e implementaran su control y eliminación, si procede, en las utilidades, de lo cual informaran en el foro, como siempre.



Saludos.

[novatillo]

Y acuerdate de guardar la carpeta de elistara y elinotif en

C/WINDOWS/SYSTEM32 y arrancas en modo seguro con simbolo de sistema (MS2) escribes elistara y das a enter.





Saludos

[koga]

[quote="novatillo"]Y acuerdate de guardar la carpeta de elistara y elinotif en

C/WINDOWS/SYSTEM32 y arrancas en modo seguro con simbolo de sistema (MS2) escribes elistara y das a enter.





Saludos[/quote]

Gracias novatillo se me habia pasado ese detalle.



Saludos.

[novatillo]

Cuatro ojos ven mas que dos (dicho por el maestro MSC) y no hay de que aqui estamos para aprender y ayudarnos entre todos :lol: :lol:





Saludos

[gomodi]

despues de descargar dl link q me dejasteis en el foro pa descargar el archivo .dll, ELISTARA me comunica q hay una nueva version del mismo descargable desde satinfo.es.

al no ser usuario de la misma pagina no puedo descargarla.

no se cmo registrarme...



ese es el problema...

graciñas



el virus es el VUNDO por lo q toy leyendo en varios sitios

[novatillo]

Para eso debes de ser cliente de satinfo.



De todas maneras descargate las utilidades desde aqui y sigue los pasos que te indique antes.



ELISTARA

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF

http://www.zonavirus.com/descargas/elinotif.asp



No hagas caso si te si te dice lo de la nueva version esta te sirve y si en realidad se trata del VUNDO es necesario ejecutar la operacion 2 o 3 veces puesto que se resiste.



aparte no te olvides de enviar las muestras que te pide elistara





Saludos.

[gomodi]

ya reinicie y lancé el elistara con su archivo dll

me avisa de q stoy infectado por el VUNDO . luego me deja un archivo infosat.txt .

os lo envio?eso es lo q debo mandar?



gracias y perdonar por ser pesado



otra cosa, no sabia como arrancar en modo seguro, me dais la respuesta?

gracias

[koga]

Lo que debe enviar son las muestras que pide el Elistara, si no sabe arrancar en modo seguro lea esto:



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



recuerde tb desactivar el restaurar sistema, click con el boton derecho sobre Mi pc, propiedades, va a la pestaña restaurar sistema, y activa la casilla desactivar restaurar sistema, aplicar y luego aceptar, le va a salir un mensage le pone aceptar.



Una vez desactivado el restaurar sistema y arrancando en modo seguro, ejecute elistara, finalizado el proceso reinicia el ordenador y nos postea el contenido de C:/Infosat.txt.



con respecto a las muestras,

ejemplo de muestra que se pide;

Por favor, envienos una muestra del fichero

C:\Muestras\DDAWX.DLL.Muestra EliStartPage v12.49

a "virus@satinfo.es". Gracias.



Todas las muestras se piden al respecto, las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podran informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaran e implementaran su control y eliminación, si procede, en las utilidades de la pagina , de lo cual se informara en el foro, como siempre.



Saludos.

[msc hotline sat]

Y, como respuesta de este Tema, posteenos el contenido de c:\infosat.txt actual, para saber a qué atenernos, gracias



saludos



ms, 9-10-2006

[melina]

[quote="melina"][quote="novatillo"]Y acuerdate de guardar la carpeta de elistara y elinotif en

C/WINDOWS/SYSTEM32 y arrancas en modo seguro con simbolo de sistema (MS2) escribes elistara y das a enter.





Saludos[/quote][/quote]



ola tengo ese virus pero para empesar no se como guerdar el elistart en la carpeta c:/WINDOWS/system32 ayudame .... porfa

[MrKogoyo]

Hola melina,

Para que analisemos tu problemas, debes crear un nuevo TEMA

Ademas fijate la fecha del TEMA, es del 2006



YA SABES, CREA UN NUEVO TEMA, DESCRIBIENDO TU PROBLEMA Y VEREMOS QUE PODEMOS HACER



[b]Slds. !!

Mr.K.[/b]

[msc hotline sat]

Efectivamente, no se deben revivir Temas de mas de 15 días, y este es de hace 4 meses...



Ademas tenía varios virus, el Puper, el Vundo... que esperabamos ver eliminados en el infosat que tenía que postear el autor del Tema, lo cual no hizo !



Pues se cierra en consecuencia y para melina, descarga estos dos ficheros EN UNA MISMA CARPETA y nos posteas tu caso en uh Tema que abras al respecto, en el que nos cuentes el problema y ya el contenido del infosat.txt resultante tras la ejecucion del ELISTARA :



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp





y se cierra este Tema en consecuencia



saludos



ms, 17-02-2007