veo archvo raro de macrovision y barras

palomo · Mensaje por **palomo** » 09 Oct 2006, 19:40

un cordial saludo, este post es solamente por la inquietud de ver archivos o procesos que no conozco, creo que la prevencion es buena..

pues vaya un gran saludo en espera de su constestacion.

asi mismo una gran duda, respectoa la troyano sdbot, existe alguna herramienta para erradicarla, creo que vi en alguna pagina donde lo vendian o se tenia que tener un acceso, creo que de SATINFO, esto por que a muchos de mis clientes le esta cayendo este virus.

me despido por el momento anexandole mi log

Logfile of HijackThis v1.99.1

Scan saved at 12:31:59, on 09/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4C1.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\DrvMon.exe

C:\Archivos de programa\Sandboxie\Control.exe

C:\WINDOWS\Packs\Crystal XP\YzToolbar\YzToolbar.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Sandboxie\SandboxieServer.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\jose luis\Mis documentos\descargas\bichos\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com.mx/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [\\LOZANO2\EPSON Stylus C63 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4C1.EXE /P33 "\\LOZANO2\EPSON Stylus C63 Series" /O6 "USB001" /M "Stylus C63"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe

O4 - HKCU\..\Run: [SandboxieControl] C:\Archivos de programa\Sandboxie\Control.exe

O4 - Startup: Y'z Toolbar.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142996101924

O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Sandboxie Service (SandboxU) - tzuk - C:\Archivos de programa\Sandboxie\SandboxieServer.exe

O23 - Service: USBest Service Zero (UTSCSI) - Unknown owner - C:\WINDOWS\system32\UTSCSI.EXE

Mensaje por **msc hotline sat** » 10 Oct 2006, 07:17

Lanza el ELITRIIP y posteanos el resultado:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Especialmente importante para este virus es la actualizacion de los parches de microsoft...

Lanza un windowsupdate !

saludos

ms. 10-10-2006

palomo · Mensaje por **palomo** » 11 Oct 2006, 18:12

como siempre amigo agradeciendo la atencion pestada, sigo tus instrucciones y aqui te envio el txt.

Tue Mar 21 08:41:45 2006

EliStartPage v11.25 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Mar 21 08:50:53 2006

EliStartPage v11.25 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\Tools\Counter.exe --> Eliminado, Restart

C:\WINDOWS\system32\Tools\Restart.exe --> Eliminado, Restart

Tue Jun 06 14:32:36 2006

EliStartPage v11.63 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jun 06 14:35:22 2006

EliStartPage v11.63 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\jose luis\Mis documentos\descargas\QUICKTIMEINSTALLER.EXE --> Eliminado, Bifrose (dropper)

Thu Aug 17 11:55:31 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Aug 17 11:59:11 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\jose luis\Mis documentos\descargas\bichos\eliminar contraseña\pdf\SETUP.EXE --> AutoExtraible

[quote]asi mismo una gran duda, respecto al troyano sdbot, existe alguna herramienta para erradicarla, creo que vi en alguna pagina donde lo vendian o se tenia que tener un acceso, creo que de SATINFO, esto por que a muchos de mis clientes le esta cayendo este virus. [/quote]

que hay de esta duda que tambien tengo

Mensaje por **msc hotline sat** » 11 Oct 2006, 18:26

Antes que nada, actualiza las utilidades !!!

Estas utilidades las hacemos nuevas a diario, para incluir las nuevas variantes controladas

Baja las dos que te indicamos y tras ello posteanos de nuevo el infosat.txt:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y efectivamente, estas ytilidades las hacemos en SATINFO para nuestros asociados, pero en este foro se dispone de algunas de ellas para evaluacion.

saludos

ms, 11-10-2006

palomo · Mensaje por **palomo** » 11 Oct 2006, 20:27

listo amigos..

actualizado.......

Tue Mar 21 08:41:45 2006

EliStartPage v11.25 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Mar 21 08:50:53 2006

EliStartPage v11.25 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\Tools\Counter.exe --> Eliminado, Restart

C:\WINDOWS\system32\Tools\Restart.exe --> Eliminado, Restart

Tue Jun 06 14:32:36 2006

EliStartPage v11.63 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jun 06 14:35:22 2006

EliStartPage v11.63 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\jose luis\Mis documentos\descargas\QUICKTIMEINSTALLER.EXE --> Eliminado, Bifrose (dropper)

Thu Aug 17 11:55:31 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Aug 17 11:59:11 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\jose luis\Mis documentos\descargas\bichos\eliminar contraseña\pdf\SETUP.EXE --> AutoExtraible

Wed Oct 11 13:09:09 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Oct 11 13:11:05 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\ASPEL\ASPEL - SAE 3.0\Bde\DISP.DLL --> Eliminado, DownLoader.AXG (notify)

C:\Archivos de programa\AutoCAD 2004\ADIMON2.DLL --> Eliminado, AltNet

C:\Documents and Settings\jose luis\Mis documentos\crystal\PACK_CRYSTAL_XP_3.0_RC1.EXE --> AutoExtraible

C:\Documents and Settings\jose luis\Mis documentos\descargas\bichos\eliminar contraseña\pdf\SETUP.EXE --> AutoExtraible

C:\Documents and Settings\jose luis\Mis documentos\descargas\curp\INSTALAR.EXE --> Eliminado, Guiños(msn)

C:\WINDOWS\Packs\Crystal XP\SETUP.EXE --> AutoExtraible

C:\WINDOWS\Packs\Crystal XP\UNINSTALL.EXE --> AutoExtraible

Mensaje por **msc hotline sat** » 14 Oct 2006, 11:36

El ELISTARA ha cumplido ! :

C:\Archivos de programa\ASPEL\ASPEL - SAE 3.0\Bde\DISP.DLL --> Eliminado, DownLoader.AXG (notify)

C:\Archivos de programa\AutoCAD 2004\ADIMON2.DLL --> Eliminado, AltNet

C:\Documents and Settings\jose luis\Mis documentos\descargas\curp\INSTALAR.EXE --> Eliminado, Guiños

Pero no vemos el informe del ELITRIIP- Lo probó tambien ??? Sino, hagalo y posteenos de nuevo el infosat.txt, gracias

Y si ya lo hizo señal que no detectó nada, en tal caso diganos si no persiste ninguna anomalia y podemos dar por solucionado el Tema

saludos

ms.14-10-2006

palomo · Mensaje por **palomo** » 19 Oct 2006, 19:01

si mil gracis, elistrip no encontro nada..

por cierto como puedo adquirir la herramienta para eliminar

al troyano sdbot, existe alguna herramienta para erradicarla, creo que vi en alguna pagina donde lo vendian o se tenia que tener un acceso, creo que de SATINFO, esto por que a muchos de mis clientes le esta cayendo este virus.

Mensaje por **msc hotline sat** » 19 Oct 2006, 20:27

Apreciado forero "palomo"

Dejando aparte que soy co-administrador de este foro, le hablo como apoderado de SATINFO, sin que utilice este foro en interes comercial, como verá, sino para satisfacer su consulta.

Si sus clientes estan en Mexico pueden registrarse a este foro y probar las utilidades de SATINFO en concepto de evaluacion.

Actualmente no operamos comercialmente con paises extranjeros al nuestro, somos mayoristas de McAfee en España y para los usuarios que contratan nuestro soporte son las utilidades, que este foro, exclusivamente, puede probar a efectos de evaluarlas

Gracias por demostrar su interès en nuestros servicios y productos

Si akgun mayorista con miles de distribuidores que tuvieran cientos de miles de clientes, como nosotros en España, se interesara por ellas, para ser nuestros representantes en otro pais, podria contactar con comercial@satinfo.es

Gracias a este foro hemos tenido solicityudes de distrtibuidores de Colombia, Argentina, Venezuela, y quizas algun otro de Chile y Mexico, pero no al nivel estructural requerido para plantearnos dixha comercializacion y soporte exterior

De todas formas, muchas gracias por su interés

saludos

ms, 19-10-2006