Setup.exe (SOLUCIONADO)

[maurirc]

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible



Tue Feb 13 02:44:03 2007

EliStartPage v13.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Tue Feb 13 03:19:25 2007

EliStartPage v13.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Tue Feb 13 03:19:41 2007

EliStartPage v13.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Feb 13 10:52:15 2007

EliStartPage v13.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Tue Feb 13 10:52:59 2007

EliStartPage v13.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

ahi dejo el disco c: en modo seguro



Tue Feb 13 12:37:09 2007

EliStartPage v13.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Tue Feb 13 12:37:14 2007

EliStartPage v13.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

[msc hotline sat]

Dices "sisi, lo veo en la carpeta d:setup.exe"
pero en cambio :

Código: Seleccionar todo

EliStartPage v13.31 (c)2007 S.G.H. / Satinfo S.L. 
-------------------------------------------------- 
Lista de Acciones (por Exploración): 
Explorando Unidad D:\ 

Pues envianoslo de nuevo, porque si no lo detectamos con la 13.31 que ya contempla la cadena de deteccion de la muestra de ayer para este SETUP.EXE, posiblemente ha mutado ???

Ya sabes, nos vuelves a enviar el D:\SETUP.EXE de la forma acostumbrada, y lo analizaremos...

Se resiste el condenado, pero ya caerá !

saludos

ms, 12-02-2007

y aparte lanza un windowsupdate, que faltan parches !

[maurirc]

virus enviado..

[maurirc]

este virus siempre aparece con un archivo llamado autorun.inf tendria q mandar ese tambien?

[msc hotline sat]

Pues podría ser de los que infectan memorias USB y se quedan en carpeta escondida de RECYCLER...

Envianoslo que veremos que es lo que intenta ejecutar en el AUTORUN.INF y menos mal que lo has comentado, porque se te podía estar regenerando toda la vida al insertar un pendrive

No insertes memorias USB ni nuevas ni viejas hasta que el ordenador no esté limpio al respecto, pues las nuevas se infectarían y las vielas infectarían al ordenador

Eso no quita que ademas sea mutante... una buena pieza !

saludos

ms, 13-02-2007

[msc hotline sat]

Pues con razon no lo detectabas, porque no es el mismo que el que nos enviaste ayer

O tenias dos bichos o está mutando, y en este ultimo caso que Dios nos pille confesados, pues cuando vamos a buscarlo ya se ha hecho la cirugía estética...

Y me temo que sea esto último.

Sí, se tata de una variante del backdoor CMQ, el que infecta memorias USB, y por ello dejaremos de controlarlo con el ELISTARA y pasaremos a controlarlo con el ELITRIIP, como backdoor que es, pues lo habiamos considferado Downloader, y es que puede ser las dos cosas (muy raro) pero como que ya tenemos la base en el ELITRIIP, a partir de ahora este lo implementamos con sus primos hermanos, aunque de otra raza y color !!!, en el ELITRIIP

Prueba el actual, aunque no lo conocerá por cadenas, pero como si muta dá igual, por lo menos a ver si detecta el autorun.inf y las carpetas del RECYCLER

Y tambien explora las memorias USB, pero tras ello, vuelve a explorar el ordenador , pues a la que las pongas lo infectas de nuevo, y si pones una memoria con el ordenador infectado, la infectas a ella... chulo eh ?

A ver como acaba todo esto !

Mañana seguiremos probando si muta, y subiendo nuevas versiones de ELITRIIP...


ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


SALUDOS

MS, 13-02-2007

[maurirc]

ahora ni el avg me lo detecta

pase el elitrip y nada.

eso q te aparece cuando lo abris en el elistara tambien

q dice de los host y el elitrip dice del puerto 445 q hay q poner?



Tue Feb 13 16:45:05 2007

EliTriIP v3.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Feb 13 16:45:25 2007

EliTriIP v3.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Feb 13 16:45:43 2007

EliTriIP v3.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Tue Feb 13 16:45:46 2007

EliTriIP v3.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Feb 13 16:47:55 2007

EliTriIP v3.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Tue Feb 13 16:47:58 2007

EliTriIP v3.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Feb 13 16:50:03 2007

EliTriIP v3.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

[MrKogoyo]

Le debes poner a todo que SI
Ademas lanza un WindowsUpdate

Slds. ¡¡
Mr.K.

[bujia]

yo tengo el mismo y es mas cabroncete de lo ke parece ya que una vez eliminado de todos los sitios aunke reinstales el pc te reaparece y ademas el mio ace cosas mas raras todabia ademas de cambiarme el icono de los discos por el del setup me intenta eliminar todo lo ke le ago click casi pero no 1 vez le da sino e llegado a contar 34 veces y es un incordio e echo de todo elistara...todos los progaramas ke teneis antivirus formatear dejar el pc aislado pero se resiste..... doy el pc por muerto ya ke aunke cabie de disco duro ese tambien lo infecta(retirando previamente el infectad)

[msc hotline sat]

A ver, que es debido a la infeccion a los perifericos, si no desinfectas las memorias USB por mas que cambies de disco duro no harás nada !!!



además es mutante y el SETUP.EXE va cambiando, hoy seguiremos con él





Ya informaremos



saludos



ms, 14-02-2007

[bujia]

Eske lo tube 1 dia despues de reinstalar el windows solo sin enchufar nada limpio el windos solo y la pantalla y aunn asi cuando encendi la pantalla lo vie en el directorio c: y D:..........

[lucl]

bueno bueno no desesperemos al final podremos con el palabra de lucl, que cuando se pone cabezonaaaaaaaa y gracias al buen hacer de msc y e usuario del pc porque claro esta que si no es por ellos por mucho que yo les mande animos desde aqui pues
saludos

[msc hotline sat]

Y no instalaste ninguna aplicación ??? no antivirus, ni parches ni nada de nada ???

Y no te conectaste a Internet ni tenías el router con la ADSL en marcha aunque no navegaras...??? o lo conectaste a la red con otros ordenadores, posiblemente infectados ???

Estamos empezando a conocer este mal bicho, no sabemos todavía todos los medios de intrusion, ni todas sus actividades, pero gracias a la moral que nos dá lucl, estamos seguros que tiene los días contados, Vamos a por él ... cueste lo que cueste !

saludos

ms, 14-02-2007

[maurirc]

y como se limpian las memorias de usb? se ve q no soy yo solo el problema, este virus hace meses q no puedo sacarlo

[msc hotline sat]

Este tipo de virus empezó con el backdoor CKB y estamos potenciando el ELITRIIP con la eliminación hasta del autorun.inf de cualquier unidad que se examine, ya que el unico que debe estar es en CD/DVD y en estos no va a poder eliminarlos...

Pruebe el ELITRIIP de hoy, v 3.18 y en todo caso, para que no se infecte el PC al insertar la memoria USB, mantenga pulsado el Shift (mayusculas) cuando inserte la memoria USB

saludos

ms, 14-02-2007

[maurirc]

es q yo no uso el usb, solo esta conectado el modem del adsl...

no se q onda, me baje y tampoco me lo reconoce. no se q mas hacer

[msc hotline sat]

Pues baja la ultima version del ELITRIIP, la pruebas y nos posteas el contenido de c:\infosat.txt y veremos donde estamos



saludos



ms, 15-02-2007

[maurirc]

Tue Feb 13 16:45:05 2007

EliTriIP v3.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Feb 13 16:45:25 2007

EliTriIP v3.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Feb 13 16:45:43 2007

EliTriIP v3.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Tue Feb 13 16:45:46 2007

EliTriIP v3.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Feb 13 16:47:55 2007

EliTriIP v3.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Tue Feb 13 16:47:58 2007

EliTriIP v3.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Feb 13 16:50:03 2007

EliTriIP v3.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Thu Feb 15 15:08:15 2007

EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Thu Feb 15 15:08:18 2007

EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Feb 15 15:12:28 2007

EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\autorun.inf --> Eliminado, DownLoader.Horst (inf)

D:\Zona Telecom\AUTORUN.INF --> Eliminado, DownLoader.Horst (inf)

[msc hotline sat]

Por lo menos detectamos esto y lo eliminamos:



D:\autorun.inf --> Eliminado, DownLoader.Horst (inf)

D:\Zona Telecom\AUTORUN.INF --> Eliminado, DownLoader.Horst (inf)



Desde luego si has metido alguna memoria USB ha de estar infectada...



En cualquier caso, como que dices que no usas, mejor, mira como se porta ahora el PC y nos lo comnetas



saludos



ms, 15.02.2007

[maurirc]

el autorun desaparecio, y el disco d: volvio a tener el icono de antes pero el setup.exe aparece siempre

[msc hotline sat]

Ya no me acordaba de él !



Controlamos dos que nos envió, pero parece que va generando uno nuevo cada vez que reinicia, lo que no sé es si es diferente cada vez o solo si lo borra ???



Envienos estos SETUP, a ver si encontramos un nexo comun, pero como que estan empaquetados con UPX. aunque fueran iguales, cada empaquetamiento varía y puede que sea siempre lo miemo pero empaquetado diferente...



De momento envienos este que tiene, y tras reiniciar vea si el que sigue teniendo es el mismo (vealo simplemente por tamaño), y si no es así renombrelo a SETUP2.exe Y NOS LO VUELVE A ENVIAR



Si fuera igaul, no lo envie, eliminelo y tras reiniciar vea que el que le crea ahora si que es diferente, envienoslo tambien como SETUP3.EXE



Se me ocurre que una manera provisional de cargarnoslo cada vez automaticamente pueda ser la de poner en el inicio un BAT que ejecute un DEL a este SETUP.EXE, aunque sea una solucion provisional hasta que encontremos lo que lo genera



y con respecto a esto ultimo, arranque en modo seguro y posteenos el log actual del HJT generado en dicho modo, a ver si vemos algo nuevo...



saludos



ms, 16-02-2007

[maurirc]

hola que tal?

venia a decir q el autorun.inf lo saca el elitrip pero despues vuelve a aparecer.. igual q el setup.exe

[msc hotline sat]

Algo, desde dentro o desde fuera te lo regenera...



Estas conectado en Red con algun otro ordenador ???.



Si es asi, desconectate, eliminalos con el ELITRIIP y tras reiniciar comprueba si se han regenerado o no, para saber si viene de fuera o de dentro



y nos lo cuentas, gracias



saludos



ms, 17-02-2007

[maurirc]

hola, no, no estoy conectado a otro ordenador..

tengo la compu en casa..

se ve q se regenera con el setup.exe ese lo tengo q borrar manualmente, el elitrip no lo detecta

[msc hotline sat]

No porque cambia el cada reinicio y es diferente cada vez...



Parece como un empaquetamiento con UPX de un fichero base, que no se llama igual, claro, y vere a saber cual es!



Nos puedes enviar unos cuantos de estos SETUP para ir mirando si encontramos la base, que tarde o temprano detectaremos, pero este de momento está descontrolado.



Iremos analizando los SETUP.EXE que nos envies e informando (los dos que has enviado ya se contolan con el ELITRIIP, igual hace unos cuantos diferentes, y si los controlamos todos...)



Quisieramos encontrar la base, pero si solo te pasa a tí y nadie lo conoce, se hace dificil !



saludos



ms, 18-02-2006



saludos



ms, 18-02-2007

[maurirc]

ahora no solo se regenera el setup.exe sino q el autorun.inf tambien..

sigo mandando setup.exe?

[msc hotline sat]

Por lo menos unos cuantos, para ver similitud o coincidencia entre ellos, para encontrar una base de deteccion, aunque nos tememos que sea modificaciones de empaquetamiento...



Y pruebalo de eliminar el SETUP habiendo arrancado en modo seguro y comprobar si de nuevo arrancando en modo seguro ya no se regenera...PORQUE SI ASI TAMBIEN LO HACE YA SON PALABRAS DE OTRO CANTAR !!!



y si quieres podemos poner un bloqueo, aunque esto prefeririamos que fuera una vez lo controlemos de verdad, pero si te urge, una vez eliminado el C:\SETUP.EXE , creas una carpeta con este nombre y extension en el directorio principal, y al ir a crear de nuevo el fichero, no podrá, ni seobreescribirlo por no ser un fichero... Es una chapuza pero efectiva, y mientras tanto analizamos otros SETUP.EXE que nos envies, para neutralizarlo, todo vale !



Pero con cococimiento de causa, claro... !!!



saludos



ms, 24-02-2007

[maurirc]

que tal?

queria avisarte q me di cuenta de otra cosa...

la mayoria de las veces el setup.exe con su autorun.inf aparece cuando abro MI PC. pero no quiere decir q si no hago eso no aparezca.

[msc hotline sat]

Pues puede que sea un downloader lo que te lo genera, y si en aquel momento no tienes internet o no esta disponible la web de descarga, no te lo genere.



Ya que lo dices, desconecta el cable de internet, arranca en modo seguro y eliminas los SETUP y autorun, y SIN CONECTAR EL CABLE DE RED, reinicia a ver si asi se generan, y si no, ya sabes de donde viene



En tal caso habriamos de ver quien lo descarga... pero ya sabriamos que no es un dropper sino un downloader



saludos



ms, 26-02-2007

[pablodgf]

Hola a todos!



Bueno estimado maurirc no te sientas sólo!!!! Ahora tienes un compañero infectado :cry:

Estaba buscando con la solución de este virus, troyano o como se llame... me parece que debe ser primo de las tortugas ninjas porque muta mas que los peces de springfield :P



Antes que nada les adjunto el registro de desinfección del nod32 para que vean que empezó con un nombre y ahora tiene otro.



Cosas que note de este virus:



*Aparece el famoso archivo Setup.exe, con su respectivo autorun.inf... el nod32 sólo detecta el setup.exe.. el otro no



*Únicamente se copia en carpetas compartidas! (o por lo menos en mi PC) como van a ver en el informe del EliTriIP v3.22, los lugares donde aparecen son carpetas compartidas



*Si comparto una unidad, ya sea C o D, al abrir windows normal me cambia el ícono del disco



Bueno por ahora eso :p, espero que sirva de algo.



Al toparme estaba con windows en modo normal, primero corri el EliTriIP v3.22 y despues el EliStartPage v13.40, pego los informes (creo que tenia otros virus malos y ni sabia):





Mon Feb 26 15:40:13 2007

EliTriIP v3.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.



Mon Feb 26 15:40:34 2007

EliTriIP v3.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\eMule\Incoming\autorun.inf --> Eliminado, DownLoader.Horst (inf)

C:\Archivos de programa\Macromedia\Dreamweaver 8\Configuration\JSExtensions\SSITranslator.dll --> Eliminado, BackDoor.CMQ (dropper)



Mon Feb 26 15:45:01 2007

EliTriIP v3.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\autorun.inf --> Eliminado, DownLoader.Horst (inf)

D:\AnaC(Chufio)\autorun.inf --> Eliminado, DownLoader.Horst (inf)

D:\L II\Modulo_de_Ayuda.exe --> Eliminado, Bifrose (dropper)

D:\Soft\Diseño\entidad3d37d_instalar.exe --> Eliminado, Bifrose (dropper)



Mon Feb 26 15:46:22 2007

EliTriIP v3.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\







***********************************************





Mon Feb 26 15:48:49 2007

EliStartPage v13.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Feb 26 15:48:56 2007

EliStartPage v13.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\PowerISO\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\Administrador\Escritorio\7-2_XP_DD_CCC_WDM_ENU_41238.EXE --> AutoExtraible



Mon Feb 26 15:54:03 2007

EliStartPage v13.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Soft\Instaladores\GMAILINSTALLER.EXE --> AutoExtraible

D:\Soft\Instaladores\OGGCODECS_0.71.0946.EXE --> AutoExtraible

D:\Soft\Instaladores\Drivers\6-7_XP-2K_DD_CCC_WDM_ENU_34826.EXE --> AutoExtraible

D:\Soft\Instaladores\Drivers\7-2_XP_DD_41238.EXE --> AutoExtraible

D:\Soft\Instaladores\Samurize\SAMURIZE_1.631.EXE --> AutoExtraible



Mon Feb 26 15:55:05 2007

EliStartPage v13.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

E:\Peliculas\7-2-IGP_XP_DD_CCC_WDM_SB_GART_ENU_41238.EXE --> AutoExtraible





**********************************************



Bueno ahora estoy ejecutando en modo a prueba de fallos con red... ahora voy a correr ambos y edito el post



Muchas gracias por su ayuda, Saludos!



[b]EDIT:[/b]



Subí el informe del NOD32 a rapidshare, por el txt al adjuntarlo al post se le salen los saltos de línea y no se entiende un pito :)


[code]http://rapidshare.com/files/18421905/informe_NOD32.rar[/code]

[b]EDIT2[/b]



Bueno ahoa estoy con el windows normal, y que creen? Volvió el ícono del disco a la normalidad!!!!! el virus no apareció más!!!!



Por lo menos por el momento todo está bien, se ve que el EliTriIP y EliStartPage funcionaron bien con esta variante del virus. Lástima que no llegue a copiar el archivo para enviarselos.



Les agradezco muchísimo por su ayuda, si necesitan algo de mi Pc para analizar pidanlo. Saludos.



PD: Tengo la otra PC en RED... la cual ahora está desconectada, es muy probable que también este infectada asi que antes de desinfectar voy a ver si les puedo enviar el virus. Gracias de nuevo!



[b]EDIT 3[/b] Si alguien ve algo raro por ahi que me avise, pego el log del Hijackthis





Logfile of HijackThis v1.99.1

Scan saved at 19:54:58, on 26/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\MSMSGS.EXE

C:\WINDOWS\SYSTEM32\GEARSEC.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Archivos de programa\Archivos comunes\ReGet Shared\Catcher.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Archivos de programa\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Archivos de programa\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background

O4 - Startup: MyProxy.lnk = C:\Archivos de programa\MyProxy\MyProxy.exe

O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Archivos de programa\Offline Explorer Pro\Add_UrlO.htm

O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Archivos de programa\Offline Explorer Pro\Add_AllO.htm

O8 - Extra context menu item: Descargar con &ReGet Deluxe - C:\Archivos de programa\Archivos comunes\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Descargar todo con &ReGet Deluxe - C:\Archivos de programa\Archivos comunes\ReGet Shared\CC_All.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Sothink SWF Catcher - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O10 - Unknown file in Winsock LSP: c:\archivos de programa\myproxy\myproxy.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\myproxy\myproxy.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\myproxy\myproxy.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\myproxy\myproxy.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\myproxy\myproxy.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\myproxy\myproxy.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\myproxy\myproxy.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\myproxy\myproxy.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\myproxy\myproxy.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\myproxy\myproxy.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\myproxy\myproxy.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\myproxy\myproxy.dll

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {ADACAA8F-3595-47FE-9C31-9C7471B9BEC7} (OCXDownloadChecker Control) - http://201.216.215.186/cab/OCXChecker_8000.cab

O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} (DownloadFile Control) - http://201.216.215.186/cab/DownloadFile_8000.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{08EF32D3-29CE-47E9-86DC-E692FCDB5ACA}: NameServer = 200.69.193.1,200.69.193.2

O17 - HKLM\System\CS1\Services\Tcpip\..\{08EF32D3-29CE-47E9-86DC-E692FCDB5ACA}: NameServer = 200.69.193.1,200.69.193.2

O17 - HKLM\System\CS2\Services\Tcpip\..\{08EF32D3-29CE-47E9-86DC-E692FCDB5ACA}: NameServer = 200.69.193.1,200.69.193.2

O17 - HKLM\System\CS3\Services\Tcpip\..\{08EF32D3-29CE-47E9-86DC-E692FCDB5ACA}: NameServer = 200.69.193.1,200.69.193.2

O17 - HKLM\System\CS4\Services\Tcpip\..\{08EF32D3-29CE-47E9-86DC-E692FCDB5ACA}: NameServer = 200.69.193.1,200.69.193.2

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~1\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)