Emergencia Ayuda Por Favor

[red_skorpio]

Hola soy nuevo espero y puedan ayudarme se los agradecere eternamente aki les dejo mi Log espero y esto ayude



Logfile of HijackThis v1.99.1

Scan saved at 16:50:27, on 08/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Video ActiveX Object\isamonitor.exe

C:\Program Files\Video ActiveX Object\pmsngr.exe

C:\WINDOWS\ehome\ehtray.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Video ActiveX Object\pmmon.exe

C:\WINDOWS\system32\nvraidservice.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Video ActiveX Object\isamini.exe

C:\WINDOWS\vsnpmi03.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Ares\Ares.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\Program Files\TechSmith\SnagIt 8\TSCHelp.exe

C:\Program Files\TechSmith\SnagIt 8\SnagPriv.exe

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HJT\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE



O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Program Files\Video ActiveX Object\isaddon.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Program Files\Save Flash\SaveFlash.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll

O3 - Toolbar: Protection Bar - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - C:\Program Files\Video ActiveX Object\iesplugin.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [SNPMI03] C:\WINDOWS\vsnpmi03.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [PIMOne] "C:\Program Files\PIMOne\PIMOne.exe" /autorun

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: SnagIt 8.lnk = C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: DiaryOne: Save full text - C:\Program Files\DiaryOne\Script\fullcatcher.htm

O8 - Extra context menu item: DiaryOne: Save selected text - C:\Program Files\DiaryOne\Script\catcher.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by112w.bay112.mail.live.com/mail/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163971655093

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe



espero su respuesta gracias Salu2



Nota: en la barra de tareas sale un mensaje q dice:



System Alert: Trojan-Spy.Win32@mx



bye

[Nuker]

Pruebe estas 2 utilidades en modo seguro. Al final del escaneo le generara un log en Unidad C, con el nombre de infosat.txt copielo y peguelo aqui. Gracias.





ELISTARA:



http://www.zonavirus.com/descargas/elistara.asp



ELITRIIP:



http://www.zonavirus.com/descargas/elitriip.asp



Y vuelvanos a postear el log de HijackThis tras eso de arriba

[red_skorpio]

Mon Jan 08 17:27:15 2007

EliStartPage v13.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PMSNGR.EXE.Muestra EliStartPage v13.03

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\VIDEO ACTIVEX OBJECT\PMSNGR.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\PMMON.EXE.Muestra EliStartPage v13.03

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\VIDEO ACTIVEX OBJECT\PMMON.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ISAMONITOR.EXE.Muestra EliStartPage v13.03

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\VIDEO ACTIVEX OBJECT\ISAMONITOR.EXE --> Renombrado a .VIR

C:\PROGRAM FILES\VIDEO ACTIVEX OBJECT\ISADDON.DLL --> Puper-Isa Acceso Denegado.

C:\PROGRAM FILES\VIDEO ACTIVEX OBJECT\ISAMINI.EXE --> Puper-Isa Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\IESPLUGIN.DLL.Muestra EliStartPage v13.03

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\VIDEO ACTIVEX OBJECT\IESPLUGIN.DLL --> Eliminado

C:\PROGRAM FILES\VIDEO ACTIVEX OBJECT\ISADDON.DLL --> Puper-Isa Acceso Denegado.

Eliminada Class, "{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}" -> C:\Program Files\Video ActiveX Object\iesplugin.dll

Eliminada Class, "{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}" -> C:\Program Files\Video ActiveX Object\isaddon.dll

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 08 17:31:30 2007

EliStartPage v13.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Program Files\Video Activex Object\ISAMONITOR.EXE.VIR --> Eliminado.

C:\PROGRAM FILES\VIDEO ACTIVEX OBJECT\ISADDON.DLL --> Eliminado Puper-Isa

C:\PROGRAM FILES\VIDEO ACTIVEX OBJECT\ISAMINI.EXE --> Eliminado Puper-Isa

Eliminada Class, "{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}" -> C:\Program Files\Video ActiveX Object\isaddon.dll

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE





ya esta solucionado q hariamos sin ustedes byezz

[Nuker]

Ahora nosotros le pedimos un favor, envienos las muestras que le pide ELISTARA porfavor. Empaquetado con Winrar o Winzip a la direccion virus@satinfo.es



Por si no sabe:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Ficheros a enviar:



Por favor, envienos una muestra del fichero

C:\Muestras\[b]PMSNGR.EXE[/b].Muestra EliStartPage v13.03

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\VIDEO ACTIVEX OBJECT\PMSNGR.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\[b]PMMON.EXE[/b].Muestra EliStartPage v13.03

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\VIDEO ACTIVEX OBJECT\PMMON.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\[b]ISAMONITOR.EXE[/b].Muestra EliStartPage v13.03

a "virus@satinfo.es". Gracias.

[msc hotline sat]

Está claro que tiene variantes del Downloader PUPER



Tras recibir las muestras, las analizaremos e implementaremos su control y eliminacion en la siguiente version del ELISTARA



saludos



ms, 10-01-2007