ayuda con trojan adclicker (SOLUCIONADO)

[imma]

ultimamente tengo algunos frentes abiertos pero creo por lo que he leido que este es el peor y no se como eliminarlo podeis ayudarme envio el log

Logfile of HijackThis v1.99.1
Scan saved at 11:01:05, on 21/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe
C:\Archivos de programa\InterVideo\Common\Bin\WinRemote.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\Archivos de programa\Logitech\Video\LogiTray.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Logitech\Video\FxSvr2.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\ARCHIV~1\NORTON~2\NORTON~1\navw32.exe
C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\Nueva carpeta\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.girona.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q404&bd=presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q404&bd=presario&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9476B23E-74F5-4A22-B701-5D19562301FB} - C:\WINDOWS\system32\ljjjhef.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [WINREMOTE] "C:\Archivos de programa\InterVideo\Common\Bin\WinRemote.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [pbmini] C:\Archivos de programa\pcast\PodcastbarMini\PodcastBar.exe -hide
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [Acme.PCHButton] C:\ARCHIV~1\HELPAN~1\Presario\XPHWWRF4\plugin\bin\PCHButton.exe
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpyBrowser] C:\Archivos de programa\SpyBro\SpyBro.exe /autostart
O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141928833875
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: ljjjhef - C:\WINDOWS\SYSTEM32\ljjjhef.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winwea32 - winwea32.dll (file missing)
O23 - Service: Boonty Games - Unknown owner - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\comHost.exe
O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

[lucl]

Hola, mira yo aun en resultados de hijackthis no me atrevo a decirte seguro pero por lo que veo y lo poco que se , vete pasando el elistara que te ayudara un poco por lo que veo, lueog msc te contestara y te dira que claves debes eliminar , pero ganemos tiempo y vayamos pasandolo. Copianos el log que te genere en c:infosat.txt, suerte y nos cuentas como te va.

http://www.zonavirus.com/descargas/elistara.asp

y mejor en modo seguro.

[msc hotline sat]

Por si tras el correcto proceso indicado por Luci, persistiera algun problema, lanza de nuevo el HJT en modo seguro y elimina estas claves:
O2 - BHO: (no name) - {9476B23E-74F5-4A22-B701-5D19562301FB} - C:\WINDOWS\system32\ljjjhef.dll
O4 - HKLM\..\Run: [pbmini] C:\Archivos de programa\pcast\PodcastbarMini\PodcastBar.exe -hide
O20 - Winlogon Notify: ljjjhef - C:\WINDOWS\SYSTEM32\ljjjhef.dll
O20 - Winlogon Notify: winwea32 - winwea32.dll (file missing)

y si quedaran en el ordenador los ficheros indicados, envíenos muestra para analizar, gracias

recordar: viewtopic.php?f=2&t=45334

saludos
ms, 21-01-2007

[imma]

este es el resultdo y me ha dicho que los ficheros no se podian eliminar



Sun Jan 21 13:37:18 2007

EliStartPage v13.14 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\LJJJHEF]

Por favor, envienos una muestra del fichero

C:\WinLogon\LJJJHEF.DLL

a "virus@satinfo.es". Gracias.



Sun Jan 21 13:44:33 2007

EliStartPage v13.14 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\XviD\UNINSTXVID.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\JOCS\LUXOR_AR_SETUP IMMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NIS_RETAIL IMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NORTON INTERNET SECURITY.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\XVID_INSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OPEN OFFICE.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OpenOffice.org 2.0 Language Pack (Español) Installation Files\PARXE SPAIN OPEN.EXE --> AutoExtraible

C:\Downloads\SPONGEBOBDINERDASH.EXE --> AutoExtraible

[msc hotline sat]

Pues ya ves que se te pide que envies un ficherp sospechoso para analizar:



Por favor, envienos una muestra del fichero

C:\WinLogon\LJJJHEF.DLL



recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y mira si persisten las claves indicadas en mi post anterior y si es el caso, arrancando en modo seguro lanzas el HJT, las marcas y les das FIX.



saludos



ms, 21-01-2007

[msc hotline sat]

Recibidas las muestras, resultan ser variantes del COMHOOK, para el que se implementa en el ELISTARA + ELINOTIF.DLL su control y eliminacion.



A partir de las 20 h de hoy descargue las dos utilidades en una misma carpeta y tras probar el ELISTARA, reinicie para proceder al proceso de eliminacion en el reinicio





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Tras finalizar, posteenos el contenido de c:\infosat.txt para comprobar el proceso en cuestion.



saludos



ms, 23-01-2007

[imma]

he hecho todo lo que me pedias, menos lo de eliminar en forma segura, pero es que cada vez salen mas cosas, ahora se me abren varias informaciones del norton

1ª dice riesgo de seguridad drive cleaner (y se me abren paginas en internet donde me dice que lo instale para preveer de los virus)



2ª Trojan Vundo



3ª info staler (o algo parecido)



el norton dice que los resuelve pero al poco rato vuelven aparecer las informaciones.

Tiene algo que ver con lo que intentamos solucionar?

haveis recibido la informacion que envie despues de pasar por eliestara?

[imma]

por cierto os envio el log y hay que añadir a lo dicho anteior-mente que el ventilador no para y se ha vuelo todo muy lento.

por cierto os envio el log gracias



Logfile of HijackThis v1.99.1

Scan saved at 16:31:24, on 27/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinRemote.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

C:\Archivos de programa\Logitech\Video\FxSvr2.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\Nueva carpeta\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.girona.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q404&bd=presario&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe"

O4 - HKLM\..\Run: [WINREMOTE] "C:\Archivos de programa\InterVideo\Common\Bin\WinRemote.exe"

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [pbmini] C:\Archivos de programa\pcast\PodcastbarMini\PodcastBar.exe -hide

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [Acme.PCHButton] C:\ARCHIV~1\HELPAN~1\Presario\XPHWWRF4\plugin\bin\PCHButton.exe

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [SpyBrowser] C:\Archivos de programa\SpyBro\SpyBro.exe /autostart

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab

O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141928833875

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Boonty Games - Unknown owner - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\comHost.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

[msc hotline sat]

Pues elimina esta clave:



O4 - HKLM\..\Run: [pbmini] C:\Archivos de programa\pcast\PodcastbarMini\PodcastBar.exe -hide



y mejor desinstala el SpyBro...



y tras hacer lo indicado en mi post anterior, posteanos el contenido de c:\infosat.txt



saludos



ms, 29-01-2007

[msc hotline sat]

Postear es copiar y pegar el contenido del txt como respuesta al Tema abierto al respecto.



Me indican que se ha recibido mail sin muestra virica, que es lo unico que entra en proceso enviado desde el foro, mientras que lo demas debe examinarse aqui, para aprovechamiento de todos.



Esta vez he podido rescatar el fichero que enviaba y lo pego a continuacion, pero por lo general va a la papelera directamente ...!




[quote]
Wed Jan 10 15:26:06 2007

EliStartPage v13.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\RunOnce] "RPCInstall"="C:\Documents and Settings\Compaq_Propietario\Mis documentos\REGISTRYFIX.EXE"

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminada Carpeta "%Archivos de Programa%\Gaov"

Eliminada Carpeta "%Archivos de Programa%\Hotbar"

Eliminada Carpeta "\Program Files\PestTrap"



Wed Jan 10 15:29:53 2007

EliStartPage v13.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\BOONTY.EXE --> Eliminado, Boonty Games

C:\Archivos de programa\F-Secure Anti-Virus\FSISUNT.DLL --> Eliminado, NavHelper (BHO)

C:\Archivos de programa\HP\Digital Imaging\{A1062847-0846-427A-92A1-BB8251A91E91}\MIGRATE.DLL --> Eliminado, RXBar

C:\Archivos de programa\OpenOffice.org 2.0\program\CANVASFACTORY.UNO.DLL --> Eliminado, SaveNow

C:\Archivos de programa\XviD\UNINSTXVID.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\JOCS\LUXOR_AR_SETUP IMMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NIS_RETAIL IMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NORTON INTERNET SECURITY.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\XVID_INSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OPEN OFFICE.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OpenOffice.org 2.0 Language Pack (Español) Installation Files\PARXE SPAIN OPEN.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Mis documentos\REGISTRYFIX.EXE --> Eliminado, DownLoader.Agent.AVZ

C:\Downloads\SPONGEBOBDINERDASH.EXE --> AutoExtraible

C:\WINDOWS\Downloaded Program Files\AZESEARCH.INF --> Eliminado, AZESearch (inf)



Thu Jan 11 20:40:51 2007

EliStartPage v13.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\XviD\UNINSTXVID.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\JOCS\LUXOR_AR_SETUP IMMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NIS_RETAIL IMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NORTON INTERNET SECURITY.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\XVID_INSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OPEN OFFICE.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OpenOffice.org 2.0 Language Pack (Español) Installation Files\PARXE SPAIN OPEN.EXE --> AutoExtraible

C:\Downloads\SPONGEBOBDINERDASH.EXE --> AutoExtraible



Sat Jan 13 18:00:06 2007

EliStartPage v13.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\XviD\UNINSTXVID.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\JOCS\LUXOR_AR_SETUP IMMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NIS_RETAIL IMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NORTON INTERNET SECURITY.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\XVID_INSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OPEN OFFICE.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OpenOffice.org 2.0 Language Pack (Español) Installation Files\PARXE SPAIN OPEN.EXE --> AutoExtraible

C:\Downloads\SPONGEBOBDINERDASH.EXE --> AutoExtraible



Thu Jan 18 20:42:14 2007

EliStartPage v13.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\XviD\UNINSTXVID.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\JOCS\LUXOR_AR_SETUP IMMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NIS_RETAIL IMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NORTON INTERNET SECURITY.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\XVID_INSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OPEN OFFICE.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OpenOffice.org 2.0 Language Pack (Español) Installation Files\PARXE SPAIN OPEN.EXE --> AutoExtraible

C:\Downloads\SPONGEBOBDINERDASH.EXE --> AutoExtraible



Fri Jan 19 17:45:53 2007

EliStartPage v13.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\XviD\UNINSTXVID.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\JOCS\LUXOR_AR_SETUP IMMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NIS_RETAIL IMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NORTON INTERNET SECURITY.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\XVID_INSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OPEN OFFICE.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OpenOffice.org 2.0 Language Pack (Español) Installation Files\PARXE SPAIN OPEN.EXE --> AutoExtraible

C:\Downloads\SPONGEBOBDINERDASH.EXE --> AutoExtraible



Sun Jan 21 13:37:18 2007

EliStartPage v13.14 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\LJJJHEF]

Por favor, envienos una muestra del fichero

C:\WinLogon\LJJJHEF.DLL

a "virus@satinfo.es". Gracias.



Sun Jan 21 13:44:33 2007

EliStartPage v13.14 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\XviD\UNINSTXVID.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\JOCS\LUXOR_AR_SETUP IMMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NIS_RETAIL IMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NORTON INTERNET SECURITY.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\XVID_INSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OPEN OFFICE.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OpenOffice.org 2.0 Language Pack (Español) Installation Files\PARXE SPAIN OPEN.EXE --> AutoExtraible

C:\Downloads\SPONGEBOBDINERDASH.EXE --> AutoExtraible



Thu Jan 25 21:00:22 2007

EliStartPage v13.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LJJJHEF] -> C:\WINDOWS\SYSTEM32\LJJJHEF.DLL

Por favor, envienos una muestra del fichero

C:\Muestras\GEBYY.DLL.Muestra EliStartPage v13.19

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEBYY.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\LJJJHEF.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\LJJJHEF.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\YYBEG.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\YYBEG.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\YYBEG.tmp --> Eliminado (Fichero Complementario).

Eliminada Class, "{9476B23E-74F5-4A22-B701-5D19562301FB}" -> C:\WINDOWS\system32\ljjjhef.dll

Eliminada Class, "{7CC30A8F-6A9F-435B-AC61-5B8766A9CC4E}" -> C:\WINDOWS\system32\gebyy.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jan 25 21:06:01 2007

EliStartPage v13.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\XviD\UNINSTXVID.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\JOCS\LUXOR_AR_SETUP IMMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NIS_RETAIL IMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NORTON INTERNET SECURITY.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\XVID_INSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OPEN OFFICE.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OpenOffice.org 2.0 Language Pack (Español) Installation Files\PARXE SPAIN OPEN.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Mis documentos\LJJJHEF.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\Downloads\SPONGEBOBDINERDASH.EXE --> AutoExtraible

C:\WinLogon\LJJJHEF.DLL --> Eliminado, DownLoader.ConHook (notify)

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.01.25b (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\gebyy"

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\ljjjhef"

Elininada Class {9476B23E-74F5-4A22-B701-5D19562301FB}

C:\WINDOWS\system32\ljjjhef.dll -> Eliminado.

Desinstalado EliNotif.dll



Thu Jan 25 21:43:16 2007

EliStartPage v13.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\XviD\UNINSTXVID.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\JOCS\LUXOR_AR_SETUP IMMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NIS_RETAIL IMA.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\NORTON INTERNET SECURITY.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\XVID_INSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OPEN OFFICE.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\open office\OpenOffice.org 2.0 Language Pack (Español) Installation Files\PARXE SPAIN OPEN.EXE --> AutoExtraible

C:\Downloads\SPONGEBOBDINERDASH.EXE --> AutoExtraible
[/quote]

[msc hotline sat]

Bueno, veo que con el ELINOTIF.DLL, el ELISTARA pudo eliminar los bichos que se le resistían...:



EliNotify v1.7.01.25b (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\gebyy"

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\ljjjhef"

Elininada Class {9476B23E-74F5-4A22-B701-5D19562301FB}

C:\WINDOWS\system32\ljjjhef.dll -> Eliminado.

Desinstalado EliNotif.dll



Pues muy bien, sumando esllo a lo indicado :



Pues elimina esta clave:



O4 - HKLM\..\Run: [pbmini] C:\Archivos de programa\pcast\PodcastbarMini\PodcastBar.exe -hide



y mejor desinstala el SpyBro...



Ya no debería tener problemas.



Confirmenos este particular para poder dar por solucionado el Tema, gracias



saludos



ms, 29-01-2007

[imma]

he echo todo lo que decias y os pego mi log pero se me continuan abriendo ventanas de internet sobre publicidad de antivirus

Mi antivirus caduca en 27 dias ¿hay alguna manera de saber si alguno de sus componentes falla? ya que no me bloquea ni me avisa de estas paginas , tengo el norton internetsecurity 2006

podeis aconsejar alguno que este mejor ya que puestos a renovar me da igual uno que otro.

Gracias

Perdon por no enviar bien pero es que no soy muy entendia en esto gracias por vuestra paciencia



Logfile of HijackThis v1.99.1

Scan saved at 15:05:56, on 29/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinRemote.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Logitech\Video\FxSvr2.exe

C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Documents and Settings\Compaq_Propietario\Escritorio\Programas\Nueva carpeta\hijackthis\HijackThis.exe

C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.girona.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q404&bd=presario&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe"

O4 - HKLM\..\Run: [WINREMOTE] "C:\Archivos de programa\InterVideo\Common\Bin\WinRemote.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [LogitechVideoRepair] "C:\Archivos de programa\Logitech\Video\ISStart.exe"

O4 - HKLM\..\Run: [LogitechVideoTray] "C:\Archivos de programa\Logitech\Video\LogiTray.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [Acme.PCHButton] C:\ARCHIV~1\HELPAN~1\Presario\XPHWWRF4\plugin\bin\PCHButton.exe

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab

O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141928833875

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Boonty Games - Unknown owner - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\comHost.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

[msc hotline sat]

Poca cosa queda ya por ver ... pero envianos este fichero y lo analizaremos



Enviar muestra de:



Nwiz.exe



puede ser virus gaobot : http://www.vsantivirus.com/gaobot-fu.htm ???



recuerda : https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



saludos



ms, 29-01-2007

[msc hotline sat]

Pues no es malware ! El Gaobot que se copia como nwiz mide 100 kB y el fichero que nos ha enviado es de 200, propio de NVIDIA.

[msc hotline sat]

Pues no es malware ! El Gaobot que se copia como nwiz mide 100 kB y el fichero que nos ha enviado es de 200, propio de NVIDIA.



Fuera de esto solo hay esta clave que podría ser rara...:

[msc hotline sat]

Pues no es malware ! El Gaobot que se copia como nwiz mide 100 kB y el fichero que nos ha enviado es de 200, propio de NVIDIA.



Fuera de esto solo hay esta clave que podría ser rara...:



O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx



Aparentemente agrega esta web a favoritos, pero si quiere probar, eliminela.



Tras elo el log está limpio y si tiene alguna anomalia, mas bien no es virica.- En tal caso podría probar REPARAR windows:


[quote]
Sugiero que proceda a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate
[/quote]

y nos cuenta el resultado en cualquier caso



saludos



ms, 30-01-2007

[imma]

Pues se continuan abriendo las ventanas de publicidad que son mas molestas que otra cosa la direccion es:

http://www.winantiviruspro.com/pages/newcontent/?aid=nm_ik_wavna_kw&lid=virus%20nav&affid=nm_66973_02f6929cabdb11db96ff0015c55d3487_a0774b04+f8ad85f719394232b3d6ccee70174e5f

y la otra pagina no he podido copiarla pero es algo de

amaena.com

ya me direis si tiene solucion

Gracias

[msc hotline sat]

Pues baja esta utilidad que tenemos en desarrollo, que es mas potente que el HJT, pruebala y nos posteas el contenido del C:\sproclog.txt como respuesta de este Tema:





SPROCES (en desarrollo)

http://www.zonavirus.com/descargas/sproces.asp



saludos



ms, 30-01-2007



y si quieres lo haces de dos formas, en modo normal y en modo seguro, nosea que tengas algun rootkit...tras el primer log, cambias el nombre (le añades un 1 por ejemplo al nombre) y examinas el segundo



saludos



ms, 30-01-2007

[imma]

he encontrado el virus pero no se puede eliminar, he intentado enviarlo pero el correo me dice que no puedo enviar un archivo infectado el nombre del archivo es (iuemwpwo.dll) y esta en la carpeta c:windows\system 32\

tiene alguna solucion??

[msc hotline sat]

Tal como se indica en el link al efecto, https://foros.zonavirus.com/viewtopic.php?f=2&t=45334 , envianoslo empaquetado en un ZIP o RAR con password VIRUS



Lo de empaquetar hazlo con el antivirus desactivado, claro



saludos



ms, 2-02-2007

[imma]

lo he puesto en una carpeta zip con el antivirus desactivado pero algo devo hacer mal pues cuando intento enviarlo me dice que el archivo contiene un virus y que no se puede enviar

no se como se hace par empaquetar con rar

[msc hotline sat]

Casi !



El zip debes hacerlo en modo avanzado, con password VIRUS, asi se encriptará y nadie lo detectará.



Es como lo hacemos diariamente con McAfee desde hace 15 años ...



saludos



ms, 2-02-2007

[imma]

ya lo he empaquetado en rar pero me dice lo mismo no se como hacerlo para enviarlo

[msc hotline sat]

Entra en opciones avanzadas y selecciona empaquetarlo con password, y como tal usa la palabra VIRUS.



ms.

[imma]

pues no tengo ni idea de como se hace en modo avanzado

[msc hotline sat]

Pues entra en dicha opcion y seleccionas el modo de empaquetar con password y ya está !



ms.

[msc hotline sat]

Recibido el fichero muestra, resulta ser un VUNDO ya detectado por McAfee y muchos mas:


[quote="VirusTotal"]
ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "iuemwpwo.dll" que VirusTotal ha recibido el día 05.02.2007 a las 17:20:22 (CET).



Antivirus Version Actualización Resultado

AntiVir 7.3.1.34 05.02.2007 ADSPY/Virtumonde.FT

Authentium 4.93.8 03.02.2007 no ha encontrado virus

Avast 4.7.936.0 05.02.2007 no ha encontrado virus

AVG 386 05.02.2007 Adware Generic.SKU

BitDefender 7.2 05.02.2007 Trojan.Virtumod.EB

CAT-QuickHeal 9.00 05.02.2007 AdWare.Virtumonde.ft (Not a Virus)

ClamAV devel-20060426 05.02.2007 no ha encontrado virus

DrWeb 4.33 05.02.2007 Trojan.Virtumod

eSafe 7.0.14.0 05.02.2007 no ha encontrado virus

eTrust-InoculateIT 30.4.3370 05.02.2007 Win32/Vundo.2hy!DLL!Trojan

eTrust-Vet 30.4.3370 05.02.2007 Win32/Vundo.BY

Ewido 4.0 04.02.2007 no ha encontrado virus

Fortinet 2.85.0.0 05.02.2007 suspicious

F-Prot 4.2.1.29 03.02.2007 no ha encontrado virus

Ikarus T3.1.0.31 05.02.2007 not-a-virus:AdWare.Win32.Virtumonde.ft

Kaspersky 4.0.2.24 05.02.2007 not-a-virus:AdWare.Win32.Virtumonde.ft

McAfee 4955 02.02.2007 Vundo.dll

Microsoft 1.2101 05.02.2007 no ha encontrado virus

NOD32v2 2038 05.02.2007 Win32/Adware.Virtumonde.FT

Norman 5.80.02 02.02.2007 W32/Virtumonde.TM

Panda 9.0.0.4 04.02.2007 Spyware/Virtumonde

Prevx1 V2 05.02.2007 no ha encontrado virus

Sophos 4.13.0 05.02.2007 no ha encontrado virus

Sunbelt 2.2.907.0 02.02.2007 VIPRE.Suspicious

Symantec 10 05.02.2007 Trojan.Vundo

TheHacker 6.1.6.052 05.02.2007 Adware/Virtumonde.ft

UNA 1.83 03.02.2007 Adware.Virtumonde.E6F3

VBA32 3.11.2 04.02.2007 Adware.Virtumonde

VirusBuster 4.3.19:9 05.02.2007 Adware.Virtumonde.BL





Información adicional

Tamaño archivo: 118804 bytes

MD5: 5a74fce3eb8293bbfbb89ffccd3ee15f

SHA1: 63484bb39d759781a75d9a2c640252e2bc526356

packers: UPX

Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
[/quote]

y se añade al ELISTARA DE HOY 13.26



a partir de las 20 h de hoy lo podrás descargar para evaluar:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 5-02-2007

[imma]

gracias por vuestra ayuda ya esta solucionado mi marido realizo un recuperacion del sistema y lo elimino todo (no teniamos solo este problema) creemos que el antiviurs que teniamos no funcionaba correctamente y hemos puesto un macfee y de momento todo bien

lo repito gracias por todo.

[msc hotline sat]

Bien, de todas formas queda controlado y disponible la eliminacion de esta nueva variante a partir de la 13.26 del ELISTARA de hoy.



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrar el Tema



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 5-02-2007