VARIOS VIRUS (SOLUCIONADO)

[peyito22]

BUENO, DESPUÉS DE NOTAR VENTANAS EMERGENTES Y EXCESIVA LENTITUD DE MI ORDENADOR EMPECÉ A LIMPIARLO.CREO QUE HE QUITADO CERCA DE 200 VIRUS, PERO HAY ALGUNOS QUE NO SOY CAPAZ DE QUITAR.

TENGO UNO Q SE LLAMA "SPYSHERIFF FAKEALERT"... Y HE INTENTADO LANZAR LA ÚLTIMA VERSIÓN DEL ELISTARA Y SE ME PARA EN "LIMPIANDO REGISTRO O ALGO ASÍ".

HE PASADO EL ELITIEMPO Y POR AHÍ SIN PROBLEMAS.

HE PASADO EL EliTriIP Y CUANDO TERMINA ME SALE UN MESNAJE QUE NO PUEDE BORRAR EL ARCHIVO

SSFS0509SYS ->ROOTKIT. OS ENVIO EL LOG DEL HIJACKTHIS:

Logfile of HijackThis v1.99.1

Scan saved at 10:17:38, on 02/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre1.5.0_08\bin\jusched.exe

C:\WINDOWS\System32\DLA\DLACTRLW.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE

C:\Archivos de programa\Logitech\MediaLife\MediaLifeService.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Archivos de programa\Archivos comunes\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe

C:\Archivos de programa\Winamp\Winampa.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spyware Doctor\swdoctor.exe

C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Archivos comunes\Logitech\KHAL\KHALMNPR.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Spyware Doctor\unins000.exe

C:\DOCUME~1\PCHAMO~1\CONFIG~1\Temp\_iu14D2N.tmp

C:\Archivos de programa\Spyware Doctor\swdoctor.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE

C:\Documents and Settings\PCHAMORRO\Escritorio\CHORRADAS\PROGRAMAS\ANTIVIRUS ANTI SPY\UTILES ANTIVIRUS\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.juntaex.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://support.euro.dell.com/segment.asp?country=es&language=es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://support.euro.dell.com/segment.asp?country=es&language=es

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\regedit /s C:\pav.reg,C:\WINDOWS\system32\pavdr.exe,C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 132.149.160.3 oaweb OAWEB

O1 - Hosts: 132.149.160.3 o01001 O01001

O1 - Hosts: 132.149.160.57 asambleaex ASAMBLEAEX

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_08\bin\jusched.exe"

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [MSKDetectorExe] "C:\Archivos de programa\McAfee\SpamKiller\MSKDetct.exe" /uninstall

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [MediaLifeService] "C:\Archivos de programa\Logitech\MediaLife\MediaLifeService.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NexusServer] "C:\Archivos de programa\Archivos comunes\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Pando] C:\Archivos de programa\Pando Networks\Pando\pando.exe /Automation

O4 - HKCU\..\Run: [Free Download Manager] C:\Archivos de programa\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: http://*.oaweb

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {3BB4FE3B-7A37-11D3-A41E-0060080C03B3} (Entire Screen Builder Web Viewer) - http://oaweb/activex/NWWClientFull.cab

O16 - DPF: {4C15D8C3-7535-489C-82E7-167945D52692} (MiOcx Control) - http://oaweb/activex/miocx.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BD1C6109-1354-4D04-A717-1F67613A36E5}: NameServer = 132.149.160.45,80.58.0.33,80.58.32.97

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe



MUCHAS GRACIAS DE ANTEMANO

[msc hotline sat]

Si hay rootkits el HJT no los podrá ver, asi que lo que interesa es el log generado por dichas utilidades. Copienos el contenido de C:\infosat.txt



Y como que debe tener problemas en el registro que impiden el proceso del ELISTARA, lance el ELISTARA con la opcion /SALTAREG , desde uina ventana al DOS:



ELISTARA /SALTAREG



Para ello mejor que tenga el ELISTARA.exe en la carpeta de sistema



saludos



ms, 2-11-2006



nota: y lo que logra con Spyware Doctor y Spy Sweeper es ralentizar la máquina ... No los aconsejamos !

[peyito22]

BUENO, LOS PROGRAMAS Q ME DIJISTE Q QUITARA LOS QUITARÉ, PERO EL SPY SWEEPER LO MANTENÍA PORQUE ERA EL ÚNICO QUE ME RECONOCÍA EL VIRUS "SPYSHERIFF FAKE ALERT". PERO YA LO QUITARÉ.

CONSEGUÍ PASAR EL ELISTARA, Y AQUI TE MANDO LO QUE ME PEDISTE:



Fri Oct 27 11:30:35 2006

EliStartPage v12.59 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "defender"="C:\\dfndrff_e38.exe"

Linea Eliminada del HOSTS --> 127.0.0.5 makethemcry.com

Linea Eliminada del HOSTS --> 127.0.0.5 loudcash.com

Linea Eliminada del HOSTS --> 127.0.0.5 iframestat.com

Linea Eliminada del HOSTS --> 127.0.0.5 toolbarpartner.com

Linea Eliminada del HOSTS --> 127.0.0.5 hqcash.com

Linea Eliminada del HOSTS --> 127.0.0.5 verybigcash.com

Linea Eliminada del HOSTS --> 127.0.0.5 makethemcry.com

Linea Eliminada del HOSTS --> 127.0.0.5 moviepartnership.com

Linea Eliminada del HOSTS --> 127.0.0.5 callmachine.com

Linea Eliminada del HOSTS --> 127.0.0.5 regcash.com

Linea Eliminada del HOSTS --> 127.0.0.5 toolbarpartner.com

Linea Eliminada del HOSTS --> 127.0.0.5 klikrevenue.com

Linea Eliminada del HOSTS --> 127.0.0.5 p2dll.com

Linea Eliminada del HOSTS --> 127.0.0.5 t73.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.makethemcry.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.loudcash.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.iframestat.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.toolbarpartner.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.hqcash.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.verybigcash.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.makethemcry.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.moviepartnership.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.callmachine.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.regcash.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.toolbarpartner.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.klikrevenue.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.p2dll.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Oct 27 11:33:00 2006

EliStartPage v12.59 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\McAfee\SpamKiller\BORLNDMM.DLL --> Eliminado, DownLoader.SXS

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\dell\MEDIAEXE\RENAME.EXE --> Eliminado, DownLoader.Vixup

C:\Documents and Settings\PCHAMORRO\Escritorio\CHORRADAS\PROGRAMAS\RTR.EXE --> Eliminado, QuickBatch(dr)

C:\Documents and Settings\PCHAMORRO\Escritorio\CHORRADAS\PROGRAMAS\DVD DECRYPTER + ANY DVD\SETUPDVDDECRYPTER_3.5.4.0.EXE --> AutoExtraible

C:\Documents and Settings\PCHAMORRO\Escritorio\CHORRADAS\PROGRAMAS\TMPGEnc-2.521.58.169-Free\LOADER.EXE --> Eliminado, DownLoader.AXG (notify)

C:\Documents and Settings\PCHAMORRO\Escritorio\CHORRADAS\TV\VEOTV.EXE --> Eliminado, Guiños(msn)



Fri Oct 27 12:09:51 2006

EliStartPage v12.59 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\PCHAMORRO\Escritorio\CHORRADAS\PROGRAMAS\DVD DECRYPTER + ANY DVD\SETUPDVDDECRYPTER_3.5.4.0.EXE --> AutoExtraible



Mon Oct 30 09:58:22 2006

EliStartPage v12.59 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\PCHAMORRO\Escritorio\CHORRADAS\PROGRAMAS\DVD DECRYPTER + ANY DVD\SETUPDVDDECRYPTER_3.5.4.0.EXE --> AutoExtraible



Thu Nov 02 12:15:13 2006

EliStartPage v12.62 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Thu Nov 02 12:15:52 2006

EliStartPage v12.62 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\McAfee\SpamKiller\BORLNDMM.DLL --> Eliminado, DownLoader.SXS

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\Archivos de programa\Spyware Doctor\tools\EG.DAT --> Eliminado, DownLoader

C:\Archivos de programa\Spyware Doctor\tools\KLG.DAT --> Eliminado, DownLoader

C:\dell\MEDIAEXE\RENAME.EXE --> Eliminado, DownLoader.Vixup

C:\Documents and Settings\PCHAMORRO\Escritorio\CHORRADAS\PROGRAMAS\RTR.EXE --> Eliminado, QuickBatch(dr)

C:\Documents and Settings\PCHAMORRO\Escritorio\CHORRADAS\PROGRAMAS\DVD DECRYPTER + ANY DVD\SETUPDVDDECRYPTER_3.5.4.0.EXE --> AutoExtraible

C:\Documents and Settings\PCHAMORRO\Escritorio\CHORRADAS\PROGRAMAS\TMPGEnc-2.521.58.169-Free\LOADER.EXE --> Eliminado, DownLoader.AXG (notify)

C:\Documents and Settings\PCHAMORRO\Escritorio\CHORRADAS\TV\VEOTV.EXE --> Eliminado, Guiños(msn)



PARECE QUE EL SPYSHERIFF FAKE ALERT NO HA DESAPARECIDO NO??.YA NO LO DETECTO

[msc hotline sat]

Efectivamente el FaKe Alert del Spu Sheriff se ha eliminado, junto con otras cosas, pero el Rootkit de marras no podemos verlo en el HJT; claro, mire de postearnoslo en modo, seguro y lo veremos



Por tanto arranca en modo seguro y posteanos nuevo log del HJT, gracias



saludos

ms, 2-11-2006

[peyito22]

he hecho lo q me has dicho y me parece que todo está bien. te mando el los del hjc y del eliastar:

He pasado de nuevo el elitrip y esta vez sin problemas, lo que no se es si este programa crea un logfile, porlo que no te lo mando. si ves que hay algún problemas mas te lo agradecería muchísimo.



muchas gracias por la corrección en los datos y la prontitud de vuestras respuestas.

Logfile of HijackThis v1.99.1

Scan saved at 13:43:39, on 02/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\PCHAMORRO\Escritorio\CHORRADAS\PROGRAMAS\ANTIVIRUS ANTI SPY\UTILES ANTIVIRUS\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.juntaex.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://support.euro.dell.com/segment.asp?country=es&language=es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://support.euro.dell.com/segment.asp?country=es&language=es

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\regedit /s C:\pav.reg,C:\WINDOWS\system32\pavdr.exe,C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 132.149.160.3 oaweb OAWEB

O1 - Hosts: 132.149.160.3 o01001 O01001

O1 - Hosts: 132.149.160.57 asambleaex ASAMBLEAEX

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_08\bin\jusched.exe"

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [MSKDetectorExe] "C:\Archivos de programa\McAfee\SpamKiller\MSKDetct.exe" /uninstall

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [MediaLifeService] "C:\Archivos de programa\Logitech\MediaLife\MediaLifeService.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NexusServer] "C:\Archivos de programa\Archivos comunes\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Pando] C:\Archivos de programa\Pando Networks\Pando\pando.exe /Automation

O4 - HKCU\..\Run: [Free Download Manager] C:\Archivos de programa\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\RunOnce: [SpySweeperUninstallSurvey] http://products.webroot.com/disp0201.php?pc=64022&rc=1&ps=T&oc=33&mjv=5&mnv=0&bld=1608&cd=&dcc=&drc=&mo=&sid=1893922600&lang=es&loc=ESP&opi=2&omj=5&omn=1&rsc=

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: http://*.oaweb

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {3BB4FE3B-7A37-11D3-A41E-0060080C03B3} (Entire Screen Builder Web Viewer) - http://oaweb/activex/NWWClientFull.cab

O16 - DPF: {4C15D8C3-7535-489C-82E7-167945D52692} (MiOcx Control) - http://oaweb/activex/miocx.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BD1C6109-1354-4D04-A717-1F67613A36E5}: NameServer = 132.149.160.45,80.58.0.33,80.58.32.97

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe



Thu Nov 02 13:38:16 2006

EliStartPage v12.62 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\PCHAMORRO\Escritorio\CHORRADAS\PROGRAMAS\DVD DECRYPTER + ANY DVD\SETUPDVDDECRYPTER_3.5.4.0.EXE --> AutoExtraible

[msc hotline sat]

Pues felicidades, ni ratro del rootkit y demas troyanos



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 2-11-2006