ayuda TR/DROP y sus derivados , Gracias antemano (TERMINADO)

[Responsa]

Hola compañeros en primer lugar me gustaria agradecer la labor de este foro, y en segundo y ya entrando en el fondo del asunto para no haceros perder mas el tiempo, me dispongo a exopner el problema, USO El antivir y me detecta frecuentemente algun tipo de antivirus TR/DROP cuando no acaba en DROP acaba en otra cosa, el caso es que es del tipo TR/(LO QUE SEA) , no entiendo nada de pc,



Pues bien , siguiendo los pasos de algún post de este foro he intentado quitarlo del modo que decis parece frenado pero algo he hecho mal, no se que es porque no se usar los metodos , es por ello que os rogaria que me ayudarais paso a paso si no es mucho pedir, el ultimo problema que me salio fue un virus que se llamaba ADSPY/GATOR, supngo que tambien relacionado con el tr/drop y el tr/bank o como se llamen,



pues eso que si me decis paso a paso lo que tengo que hacer y las herramientas que tengo que usar y me haceis un tutorial os estaria enormemente agradecido, de otra manera no me quedaria mas remeido que llevarlo a la tienda a formatear, y quizas con vuestra ayuda pueda, en fin bueno solo decir que me conecto cuando puedo de tardes noches y es cuando podre trabajar en erradicar el problema estare atento siempre por si me ayudais, graciasde antemano amigos

[Nuker]

Pues para eso pasate estas 2 herramientas en modo seguro. Abre el link le das en descargar y en la ventana le das en guardar en vez de abrir (guardalas en una carpeta de tu conociemiento). Cierras ventanas, reinicias y entras en modo seguro, y ahi las ejecutas, al terminar con el escaneo te regresas a modo normal y te metes a Unidad C, busca un bloc de notas con nombre infoSat.txt copia contenido y pegalo aqui, como parte de tu respuesta.



ELISTARA:



http://www.zonavirus.com/descargas/elistara.asp



ELITRIIP:



http://www.zonavirus.com/descargas/elitriip.asp



ACCEDIENDO A MODO SEGURO:



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

[msc hotline sat]

TR es abreviacion de Troyano y DROP de dropper = creador, esto es, un generador de otros virus o troyanos.

Con las dos utilidades indicadas por Nuker se detectan miles de ellos y se piden muestras de sispechosos, pero si no se detectara nada, pueden no conocerlo, en cuyo caso pruebe este AV ONLINE y nos cuenta el resultado, gracias:

Antivirus ONLINE aconsejado

saludos
ms, 2-02-2007

[Responsa]

No se si habre hecho bien el analisis ahi dejo lo que me sale, me parece poco igual lo he hecho mal, ya me direis;



Fri Feb 02 01:27:49 2007

EliStartPage v13.24 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Mysee Alert"=""C:\Archivos de programa\GAOV\Mysee Alert\Mysee Alert.exe" -notray"

Eliminada Carpeta "%Archivos de Programa%\Gaov"

Eliminados Ficheros Temporales del IE



Fri Feb 02 01:29:46 2007

EliStartPage v13.24 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\\IRCAP-82.EXE --> AutoExtraible

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor

C:\Archivos de programa\Kit de firma ACA\MINILECTOR.EXE --> AutoExtraible

C:\Documents and Settings\Windows XP\Escritorio\programas\EZCDDAX8_SPANISH.EXE --> AutoExtraible

C:\WINDOWS\UNINSTMINILECTOR.EXE --> AutoExtraible



Fri Feb 02 14:45:44 2007

EliStartPage v13.24 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Feb 02 14:45:54 2007

EliStartPage v13.24 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\\IRCAP-82.EXE --> AutoExtraible

C:\Archivos de programa\Kit de firma ACA\MINILECTOR.EXE --> AutoExtraible

C:\Documents and Settings\Windows XP\Escritorio\programas\EZCDDAX8_SPANISH.EXE --> AutoExtraible

C:\WINDOWS\UNINSTMINILECTOR.EXE --> AutoExtraible



Fri Feb 02 14:54:59 2007

EliTriIP v3.13 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Windows XP\Escritorio\EMISIONES DE RADIO\emulador de la nintendo 64 bits con 54 juegos by ah.exe --> Eliminado, ServU-Daemon v4 (Dropper)

[msc hotline sat]

Pues tras reiniciar mira si persiste algun problema, y si es asi, lanza el AV ONLINE que te indicamos en post anterior y nos comentas el resultado, gracias



saludos



ms, 2-02-2007

[Responsa]

bueno al pasar el virus que me recomiendas no me detecta nada tras reiniciar, pero es que el virus que tengo yo, aparece de forma aislada igual a las 7 de la tarde igual a la noche, igual por la mañana es por donde le da, no obstante me gustaria saber si he ejecutado bien las herrmaientas indicadas en la primera respuesta, puesto que estas me hacian una serie de preguntas al ejecutarlas como si queria eliminar esto o aquello yo a todo decía no y lo deje que escanera luego , luego fuy a modo normal y reinicie y abri la carpeta infosat pero a secas no infosat.txt supongo que sera la misma, bueno espero la respuesta de si he hecho todo bien porque comparando el resultado de otros con el miio, este mio parece muy corto en fin que ya me direis

muchisimas gracias

[msc hotline sat]

El tamaño del infosat varía en cada ordenador segun lo encontrado, desde solo la cabecera si no detecta nada, hasta 200 lineas a partir de las cuales empezamos de nuevo.



Ya se ha eliminado lo malo conocido y si el AV ONLINE no detecta nada, todo está en si aprecia que persiste alguna anomalía



Y si le volviera a saltar la deteccion del TR/DROP, envienos muestra del fichero donde dice detectarlo para su analisis



recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 2-02-2007

[Responsa]

Bueno tras hacer todo y pasar el antivirus recomendado, ha saltado mi antivir el aleman por defecto que salta siempre, y casualmente me ha pillado 14 detecciones de las cuales he podido quitar 11 dandole delate, no obstante siempre hago lo mismo y siempre vuelve a salir , pero he conseguido un reporter el cual pego aqui ,bueno si veis algo ya me direis aqui el reporter con los resultados y todo eso ,



AntiVir Windows Workstation
Report file date: viernes, 02 de febrero de 2007 15:41

Scanning for 569934 virus strains and unwanted programs.

Licensed to: Demo Version
Serial number:
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Windows XP
Computer name: NOMBRE-GPWRZHZX

Version information:

Código: Seleccionar todo

BUILD.DAT    : 410           15029 Bytes  05/12/2006 16:40:00
AVSCAN.EXE   : 7.0.3.2      208936 Bytes  05/12/2006 15:30:07
AVSCAN.DLL   : 7.0.3.1       35880 Bytes  05/12/2006 15:39:55
LUKE.DLL     : 7.0.3.2      143400 Bytes  31/10/2006 16:07:46
LUKERES.DLL  : 7.0.2.0        9256 Bytes  05/12/2006 15:39:55
ANTIVIR0.VDF : 6.35.0.1    7371264 Bytes  31/05/2006 15:30:06
ANTIVIR1.VDF : 6.36.1.24   2212864 Bytes  14/11/2006 09:12:08
ANTIVIR2.VDF : 6.36.1.113   221696 Bytes  01/12/2006 09:12:12
ANTIVIR3.VDF : 6.37.0.3       6144 Bytes  01/12/2006 09:12:14
AVEWIN32.DLL : 7.3.0.15    1982976 Bytes  04/12/2006 17:18:38
AVPREF.DLL   : 7.0.2.0       23592 Bytes  03/11/2006 10:53:44
AVREP.DLL    : 6.37.0.3     983080 Bytes  01/12/2006 09:05:52
AVRPBASE.DLL : 7.0.0.0     2162728 Bytes  30/03/2006 08:43:31
AVPACK32.DLL : 7.2.0.5      368680 Bytes  23/10/2006 15:21:31
AVREG.DLL    : 7.0.1.1       30760 Bytes  23/10/2006 10:52:27
NETNT.DLL    : 7.0.0.0        6696 Bytes  19/10/2006 14:12:07
RCIMAGE.DLL  : 7.0.1.3     2220072 Bytes  08/11/2006 12:01:42
RCTEXT.DLL   : 7.0.12.1      77864 Bytes  05/12/2006 15:39:54

Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: C:\Archivos de programa\AntiVir Workstation\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Expanded search settings.........: 0x00007000

Start of the scan: viernes, 02 de febrero de 2007  15:41

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Modules have been scanned
Scan process 'avcenter.exe' - '1' Modules have been scanned
Scan process 'iexplore.exe' - '1' Modules have been scanned
Scan process 'hprblog.exe' - '1' Modules have been scanned
Scan process 'hpqste08.exe' - '1' Modules have been scanned
Scan process 'AimMon.exe' - '1' Modules have been scanned
Scan process 'hpqtra08.exe' - '1' Modules have been scanned
Scan process 'ctfmon.exe' - '1' Modules have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Modules have been scanned
Scan process 'Mini20.exe' - '1' Modules have been scanned
Scan process 'msmsgs.exe' - '1' Modules have been scanned
Scan process 'avgnt.exe' - '1' Modules have been scanned
Scan process 'WinCinemaMgr.exe' - '1' Modules have been scanned
Scan process 'realsched.exe' - '1' Modules have been scanned
Scan process 'jusched.exe' - '1' Modules have been scanned
Scan process 'hpwuSchd2.exe' - '1' Modules have been scanned
Scan process 'PDVDServ.exe' - '1' Modules have been scanned
Scan process 'VTTimer.exe' - '1' Modules have been scanned
Scan process 'VTTrayp.exe' - '1' Modules have been scanned
Scan process 'SlowDownCPU.exe' - '1' Modules have been scanned
Scan process 'alg.exe' - '1' Modules have been scanned
Scan process 'wscntfy.exe' - '1' Modules have been scanned
Scan process 'explorer.exe' - '1' Modules have been scanned
Scan process 'wdfmgr.exe' - '1' Modules have been scanned
Scan process 'p2psvr.exe' - '1' Modules have been scanned
Scan process 'MDM.EXE' - '1' Modules have been scanned
Scan process 'avesvc.exe' - '1' Modules have been scanned
Scan process 'avguard.exe' - '1' Modules have been scanned
Scan process 'sched.exe' - '1' Modules have been scanned
Scan process 'spoolsv.exe' - '1' Modules have been scanned
Scan process 'svchost.exe' - '1' Modules have been scanned
Scan process 'svchost.exe' - '1' Modules have been scanned
Scan process 'svchost.exe' - '1' Modules have been scanned
Scan process 'svchost.exe' - '1' Modules have been scanned
Scan process 'svchost.exe' - '1' Modules have been scanned
Scan process 'lsass.exe' - '1' Modules have been scanned
Scan process 'services.exe' - '1' Modules have been scanned
Scan process 'winlogon.exe' - '1' Modules have been scanned
Scan process 'csrss.exe' - '1' Modules have been scanned
Scan process 'smss.exe' - '1' Modules have been scanned
40 processes with 40 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( 25 files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\Archivos de programa\Tetron4\tgserver.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [INFO]      The file was moved to '463650b4.qua'!
C:\Archivos de programa\Yahoo!\YPSR\Quarantine\ppq670.tmp\bar\BaiduBar.dll
      [DETECTION] Contains signature of the Ad- or Spyware ADSPY/BaiduBar.T.2
      [INFO]      The file was deleted!
C:\Archivos de programa\Yahoo!\YPSR\Quarantine\ppq670.tmp\bar\BDBar_tmp\BaiduBar.dll
      [DETECTION] Contains signature of the Ad- or Spyware ADSPY/BaiduBar.T.2
      [INFO]      The file was deleted!
C:\Archivos de programa\Yahoo!\YPSR\Quarantine\ppq694.tmp\NavHelper\v2.0.4b\NHelper.dll
      [DETECTION] Contains signature of the Ad- or Spyware ADSPY/NavExcel.dll
      [INFO]      The file was deleted!
C:\Archivos de programa\Yahoo!\YPSR\Quarantine\ppq694.tmp\NavHelper\v2.0.4b\NHUninstaller.exe
      [DETECTION] Contains signature of the Ad- or Spyware ADSPY/NavExcel.A.2
      [INFO]      The file was deleted!
C:\Archivos de programa\Yahoo!\YPSR\Quarantine\ppq694.tmp\NavHelper\v2.0.4b\NHUpdater.exe
      [DETECTION] Contains signature of the Ad- or Spyware ADSPY/NavExcel.d.5
      [INFO]      The file was deleted!
C:\Archivos de programa\Yahoo!\YPSR\Quarantine\ppq694.tmp\NavHelper\v2.0.4b\v2.0.4b.cab
  [0] Archive type: CAB (Microsoft)
  --> NHelper.dll
      [DETECTION] Contains signature of the Ad- or Spyware ADSPY/NavExcel.dll
  --> NHUninstaller.exe
      [DETECTION] Contains signature of the Ad- or Spyware ADSPY/NavExcel.A.2
  --> NHUpdater.exe
      [DETECTION] Contains signature of the Ad- or Spyware ADSPY/NavExcel.d.5
      [INFO]      The file was deleted!
C:\Program Files\CNNIC\Cdn\cdnaux.dll
      [DETECTION] Contains signature of the Ad- or Spyware ADSPY/Cdnup.A.4
      [INFO]      The file was deleted!
C:\Program Files\CNNIC\Cdn\cdnforie.dll
      [DETECTION] Contains signature of the Ad- or Spyware ADSPY/Cdnup.A.5
      [INFO]      The file was deleted!
C:\Program Files\CNNIC\Cdn\cdnsign.dll
      [DETECTION] Contains signature of the Ad- or Spyware ADSPY/Cdnup.B.5
      [INFO]      The file was deleted!
C:\Program Files\CNNIC\Cdn\cdnup.exe
      [DETECTION] Contains signature of the Ad- or Spyware ADSPY/Cdnup.C
      [INFO]      The file was deleted!
C:\Program Files\CNNIC\Cdn\cdnuplib.dll
      [DETECTION] Contains signature of the Ad- or Spyware ADSPY/Cdnup.B.2
      [INFO]      The file was deleted!


End of the scan: viernes, 02 de febrero de 2007  16:15
Used time: 34:36 min

The scan has been done completely.

   4595 Scanning directories
 247681 Files were scanned
     14 viruses and/or unwanted programs were found
     11 files were deleted
      0 files were repaired
      1 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 247667 Files not concerned
   6845 Archives were scanned
      1 Warnings
      0 Notes

[msc hotline sat]

Pues los ficheros que detecte malwares y no haya borrado los mueves a una carpeta de cuarentena, y tras reiniciar mira si ya los puede borrar o nos los envias para su analisis:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 2-02-2007

[Responsa]

Pues pasare otra vez el antivir es que ya nose que hacer , no es bastante lo que he dado? que hago? gracias

[lucl]

Hola responsa mira, msc te sugiere esto

Pues los ficheros que detecte malwares y no haya borrado los mueves a una carpeta de cuarentena, y tras reiniciar mira si ya los puede borrar o nos los envias para su analisis:

viewtopic.php?f=2&t=45334

y tu dices

luego fui a modo normal y reinicie y abrí la carpeta infosat pero a secas no infosat.txt supongo que sera la misma, bueno espero la respuesta de

pasa de nuevo el elistara en modo seguro y mira si elimina algo mas, saludos.

[Responsa]

de veras no se si lo hago bien, esto es lo que me sale en elistrata:



Sat Feb 03 10:45:21 2007

EliStartPage v13.24 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Sat Feb 03 10:45:26 2007

EliStartPage v13.24 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\\IRCAP-82.EXE --> AutoExtraible

C:\Archivos de programa\Kit de firma ACA\MINILECTOR.EXE --> AutoExtraible

C:\Archivos de programa\Spybot - Search & Destroy\BLINDMAN.EXE --> Eliminado, PWS-Lineage

C:\Documents and Settings\Windows XP\Escritorio\programas\EZCDDAX8_SPANISH.EXE --> AutoExtraible

C:\WINDOWS\UNINSTMINILECTOR.EXE --> AutoExtraibl

[Responsa]

Cundo paso ambos elis uno el trata y el otro el no se que, me hacen preguntas, quiere eliminar esto? quiere elimira lo otro? yo digo a oto que no y luego star y escaneo luego reporto lo queme da, LO HAGO BIEN? o digo que si a todas las preguntas que me dicen ambas herramientas ,

Gracias y saludo

[MrKogoyo]

Le Tienes que decir que SI a las 2 herramientas, y para que el escaneo sea mas rapido, desactiva el anti-virus momentaneamente



[b]Slds. ¡¡

MrKogoyo[/b]

[Responsa]

Bueno diciendo que si a ambas herramientas el ultimo analisis me da este resultado , alguie me lo podria valorar?

Gracias de antemano,



at Feb 03 16:08:32 2007

EliStartPage v13.24 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\SAVE\SAVE.EXE --> Eliminado SaveNow

Linea Eliminada del HOSTS --> 127.0.0.1 update.111222.cn

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Feb 03 16:08:56 2007

EliStartPage v13.24 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\\IRCAP-82.EXE --> AutoExtraible

C:\Archivos de programa\Kit de firma ACA\MINILECTOR.EXE --> AutoExtraible

C:\Documents and Settings\Windows XP\Escritorio\programas\EZCDDAX8_SPANISH.EXE --> AutoExtraible

C:\WINDOWS\UNINSTMINILECTOR.EXE --> AutoExtraible

[lucl]

Bueno de entrada te ha limpiado esto

Lista de Acciones (por Acción Directa):
C:\ARCHIVOS DE PROGRAMA\SAVE\SAVE.EXE --> Eliminado SaveNow
Linea Eliminada del HOSTS --> 127.0.0.1 update.111222.cn

pero descargate el hijackthis y ejecutalo dandole a "Do a system scan and Save logfile" y copianos el log que te genere.

http://www.zonavirus.com/descargas/tren ... ckthis.asp

saludos.

[Responsa]

Bueno el progrma HT me dio un resultado como este, no se si lo he hecho bien porque termino muy rapido esto es,



Logfile of HijackThis v1.99.1

Scan saved at 22:57:56, on 03/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Archivos comunes\Sogou PXP\p2psvr.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Mini20\Mini20.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Windows XP\Escritorio\hijat\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn1\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Archivos de programa\Multi_Media\tbMult.dll

O2 - BHO: VGOIEHelper Class - {B6FA00D9-86EC-4158-9488-D00DFF897E86} - C:\Archivos de programa\21cn\VGO\VGOIEBHO.dll

O3 - Toolbar: Uderecho Toolbar - {ea30901e-7c7e-4d71-91f6-dbc35f1e79fa} - C:\Archivos de programa\Uderecho\tbUde1.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn1\yt.dll

O3 - Toolbar: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Archivos de programa\Multi_Media\tbMult.dll

O3 - Toolbar: Share Accelerator Toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Archivos de programa\Share_Accelerator\tbShar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SlowDownCPU] C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [schedule] C:\Archivos de programa\InterVideo\Backup\Schedule.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Mini20] "C:\Mini20\Mini20.exe"

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares lite] "C:\Archivos de programa\Ares Lite\Ares.exe" -h

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) - http://www.euchannels.net/update/KooPlayer.ocx

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159038952047

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159038943218

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B0862117-8110-4CBA-B488-8DE204D7384B} (SAMIS.Client) -

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4950/mcfscan.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

O16 - DPF: {FEBC17AE-10CC-49D9-969C-8745EB53F8FF} (FIRMARECIBIS.Signer) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{5B1D82FC-9C11-47DB-A3F2-FA6CBC3793B7}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: P4P Service - Sohu.com Inc. - C:\Archivos de programa\Archivos comunes\Sogou PXP\p2psvr.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

[Nuker]

Envia muestra de estos ficheros:



C:\WINDOWS\INF\MSI\SlowDownCPU\[color=red]SlowDownCPU.exe [/color]



C:\Mini20\[color=red]Mini20.exe [/color]



C:\WINDOWS\system32\[color=red]drwtsn32.exe[/color]



COMO ENVIAR ?:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[MrKogoyo]

Por lo que tengo entendido "drwtsn32.exe" o "Dr. Watson" sirve depurar y verificar la correcta ejecucion de programas



Mira:

http://www.es.filename.info/f/drwtsn32.exe.html



Pero no se pierde nada



[b]Slds. ¡¡

Mr.[/b]

[Responsa]

lo he copiado y mandado por correo al sitio donde me indicabas he copiado y pegado esos tres ficheros , asi se no?

Envia muestra de estos ficheros:



C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe



C:\Mini20\Mini20.exe



C:\WINDOWS\system32\drwtsn32.exe



simplemente eso? pues gracias, espero qeu me respondan si tengo algo dañino

[MrKogoyo]

Los copiaste, asi de simple ?? osea mandaste los .exe o los metiste en un .rar (comprimir) como explican las indicaciones ??



[b]Slds. ¡¡

MrKogoyo.[/b]

[Responsa]

PUES ASI de simple, porque de otra manera no se y perdona mi ignorancia, :(

[Responsa]

No se si pegar mi log en el foro de hijakstis, veo que ahi se procede al analisis, bueno ya me direis de todas formas si quereis esta ahi mas arriba venga gracias y perdon que ando un opco desesperado , nadie me dice nada de mi reporter de hijakstis, bueno si me han contestado pero no se que tengo que hacer venga un saludo ,

[MrKogoyo]

Nuker te dijo que era lo que tenias que hacer

ahora estamos esperando el resultado del analisis de los archivos que enviaste



[b]Slds. ¡¡

MrKogoyo[/b]

[msc hotline sat]

Segun nos indicaron en

https://foros.zonavirus.com/image-vp71362.html

el mini20 es un programa de noticias, es el 20 minutos, no hacía falta enviarlo...



y el drwtsn32.exe de la carpeta de sistema es el debuggeador de Windows cuando no se cierra bien un programa:

http://www.es.filename.info/f/drwtsn32.exe.html

tampoco creo que sea nada,



en cambio el SlowDownCPU es una aplicacion para ralentizar los procesos, que si no la has instalado voluntariamente, no es normal.



Mientras llega el lunes que analizaremos las muestras enviadas, renombra la extension de dicho fichero a .VIR para que no se ponga en marcha en el proximo reinicio, y tras reiniciar, cuentanos el resultado, gracias





Recuerda que está en :



C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe



saludos



ms, 4-02-2007

[Responsa]

DIsculpa compañero no se como se renombra , no se como se hace, me podrias indicar los pasos sino es molestia,



un saludo y gracias de antemano

[msc hotline sat]

Si hombre, te vas a dicha ruta, pulsas con el boton derecho el fichero en cuestion, se abrirá una ventana enla que verás en penultimo lugar CAMBIAR NOMBRE, pulsas ahí y se iluminará el nombre del icono en cuestion, escribes el que quieres que tenga (con la extension que quieras) y al final pulsas <Enter>



Así en el proximo reinicio no se pondrá en marcha, a ver si provisionalmente lo resuelves con eso.



saludos



ms, 4-02-2007

[Responsa]

Te comento compañero y antes de agradezco esta labor,

llegado a la careta manualmente no veo que termine en exe dicho arcivho ahora, no se si hago bien hago mal pero veo el archivo a secas sin el exe te lo pego como lo veo accediendo manualmente

C:\WINDOWS\inf\MSI\SlowDownCPU



No esta el exe, en fin quiza algun dia le ganare la partida a los ordenadores pero sera en otra vida ,espero resultado analis



gracias gracias

[msc hotline sat]

En windows, por defecto no se ven las extensiones y espero que las veas

saludos
ms, 4-02-2007

[Responsa]

Lo veo es un icono con forma de cubo tres cubos que fue creado en 2005 no parece malo ahora ya lo veo en forma de exe (concretamente .exe) que hago? borro cambiar nombre y pongo .VIR en Mayusculas asi? (quitando el,.exe y poniendo .VIR , asi en mayuscula, estoy seguro de lo que esoty haciendo, no es que no confie en ti he hecho todo lo que me pides por eso me pongo en vuestras manos, ES QUE NO CONFIO EN MI ES ESO please



Gracias antemano