No se que tengo :O

[devh]

Hola, el pc me va lentísimo ultimamemente. Procesos como el LSASS.exe se ponen a gastar todos los recursos y se queda el pc totalemente congelado.

Por más que escaneo no encuentor nada. A ver si con mi log del hjt podéis ver algo. Gracias y saludos.





Logfile of HijackThis v1.99.1

Scan saved at 16:32:18, on 14/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\Hummingbird\Connectivity\7.10\Inetd\inetd32.exe

C:\WINDOWS\system32\Hummingbird\Connectivity\7.10\Jconfig\jconfigdnt.exe

C:\WINDOWS\system32\Hummingbird\Connectivity\7.10\Jconfig\hjavaw.exe

C:\Archivos de programa\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\javaw.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\damian\CONFIG~1\Temp\Rar$EX00.453\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elpais.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 165.228.131.10:3128

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.net; *.com; *.org;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Send to MyInfo - {A1AD13F3-B8F0-4584-8088-8BCBDB42663F} - C:\ARCHIV~1\Milenix\MYINFO~1\SENDIE~1.DLL

O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing)

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ARCHIV~1\FlashFXP\IEFlash.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Send to MyInfo - {f192ebcd-82e5-11da-954e-00e08161165f} - C:\ARCHIV~1\Milenix\MYINFO~1\SENDIE~1.DLL

O9 - Extra 'Tools' menuitem: Send to MyInfo - {f192ebcd-82e5-11da-954e-00e08161165f} - C:\ARCHIV~1\Milenix\MYINFO~1\SENDIE~1.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143794149468

O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://vpn.movilab.net/dana-cached/setup/JuniperSetup.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{533CA4CE-3DB5-4025-8440-43B55CC1789F}: NameServer = 80.58.61.250

O17 - HKLM\System\CCS\Services\Tcpip\..\{89D5A3AD-AE8E-4895-8B2D-740EC516B4E1}: NameServer = 192.168.100.150

O17 - HKLM\System\CS1\Services\Tcpip\..\{533CA4CE-3DB5-4025-8440-43B55CC1789F}: NameServer = 80.58.61.250

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: IntelWireless - C:\Archivos de programa\Intel\Wireless\Bin\LgNotify.dll

O20 - Winlogon Notify: winmqx32 - winmqx32.dll (file missing)

O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Hummingbird Inetd (HCLInetd) - Hummingbird Ltd. - C:\WINDOWS\system32\Hummingbird\Connectivity\7.10\Inetd\inetd32.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Demonio Jconfig de Hummingbird (Jconfigd) - Hummingbird Ltd. - C:\WINDOWS\system32\Hummingbird\Connectivity\7.10\Jconfig\jconfigdnt.exe

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Archivos de programa\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: WLANKEEPER - Intel® Corporation - C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe

[MrKogoyo]

Hola y bienvenido



Primero pasa esta herramienta

[b]

EliTriiP:[/b]

http://www.zonavirus.com/descargas/elitriip.asp



Una vez terminada la EXPLORACIÓN postenos el CONTENIDO de C:/InfoSat.txt



++++++++++



[color=red][b]No Borres ninguna entrada hasta que un usuario avanzado lo apruebe[/b][/color]



En el Hijackthis borra las siguientes claves marcando la casilla de la izquierda y dando "Fix Cheked":



[b]O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)



O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)



O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)



O20 - Winlogon Notify: winmqx32 - winmqx32.dll (file missing)[/b]



Comenta los resultados



[b]Slds. ¡¡

Mr.K.[/b]

[msc hotline sat]

Aunque no sea imprescindible, puede eliminar las claves indicadas en el post anterior, cuando menos para eliminar restos inutiles en el registro



saludos



ms, 14-02-2007

[devh]

gracias. Aqui mi infosat







Thu Sep 21 15:52:48 2006

EliStartPage v12.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\WINMQX32] -> C:\WINDOWS\SYSTEM32\WINMQX32.DLL

C:\WINDOWS\SYSTEM32\ISNOTIFY.EXE --> Puper Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.38

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.38

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\ISSEARCH.EXE --> Puper Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\IXT0.DLL.Muestra EliStartPage v12.38

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IXT0.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MLJJI.DLL.Muestra EliStartPage v12.38

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MLJJI.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINMQX32.DLL --> BackDoor-CVT (notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\IJJLM.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario).

Eliminada Class, "{052B12F7-86FA-4921-8482-26C42316B522}" -> C:\Archivos de programa\Safety Bar\SafetyBar.dll

Eliminada Class, "{E3B6E5A0-D975-47AE-A5FC-6840E498915A}" -> C:\WINDOWS\system32\mljji.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 21 15:54:26 2006

EliStartPage v12.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Juniper Networks\Network Connect 5.3.0\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\Documents and Settings\damian\Configuración local\Archivos temporales de Internet\Content.IE5\948N5T0T\SRVLUD[1].EXE --> Eliminado, Dialer-Cool

C:\Documents and Settings\damian\Datos de programa\Juniper Networks\setup\UNINSTALL.EXE --> AutoExtraible

C:\WINDOWS\system32\EFCYVTU.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WINDOWS\system32\ISNOTIFY.EXE --> Eliminado, Puper

C:\WINDOWS\system32\ISSEARCH.EXE.VIR --> Eliminado, Puper



Thu Sep 21 16:01:16 2006

EliStartPage v12.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Thu Sep 21 16:01:29 2006

EliStartPage v12.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\GEBXWUT] -> C:\WINDOWS\SYSTEM32\GEBXWUT.DLL

[WinLogon\Notify\MLJJI]

Por favor, envienos una muestra del fichero

C:\WinLogon\MLJJI.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.38

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\ISMINI.EXE.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.38

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\MLJJI.DLL.Muestra EliStartPage v12.38

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MLJJI.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\GEBXWUT.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\GEBXWUT.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\IJJLM.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{D3B3C51E-8D11-4667-85B9-0930F519BED7}" -> C:\WINDOWS\system32\gebxwut.dll

Eliminada Class, "{E3B6E5A0-D975-47AE-A5FC-6840E498915A}" -> C:\WINDOWS\system32\mljji.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 21 16:03:04 2006

EliStartPage v12.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Juniper Networks\Network Connect 5.3.0\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\damian\Datos de programa\Juniper Networks\setup\UNINSTALL.EXE --> AutoExtraible

C:\WINDOWS\system32\COOL.EXE.VIR --> Eliminado, Dialer-Cool

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.6.08.03 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\mljji"

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\gebxwut"

Elininada Class {D3B3C51E-8D11-4667-85B9-0930F519BED7}

C:\WINDOWS\system32\gebxwut.dll -> Eliminado.

Desinstalado EliNotif.dll



Thu Sep 21 16:10:29 2006

EliStartPage v12.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\ISHOST.EXE.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\ISMINI.EXE.VIR --> Eliminado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 21 16:11:21 2006

EliStartPage v12.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Juniper Networks\Network Connect 5.3.0\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\damian\Datos de programa\Juniper Networks\setup\UNINSTALL.EXE --> AutoExtraible

C:\WINDOWS\system32\WINMQX32.DLL.VIR.VIR.VIR --> Eliminado, BackDoor-CVT (notify)



Thu Feb 15 10:42:04 2007

EliTriIP v3.18 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\All Users\Datos de programa\SolidDocuments\Installer\Solid Converter PDF\damian\SolidSFX_Data\autorun.inf --> Eliminado, DownLoader.Horst (inf)



















Poca m***da tenía no? :o Bueno ya me comentaréis que sois los expertos. S2

[msc hotline sat]

Con un downloader basta, que puede descargar toda la basura de Internet ...



Pero no posteas el ELITRIIP por accion directa ???


[quote]


Thu Sep 21 16:11:21 2006

EliStartPage v12.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Juniper Networks\Network Connect 5.3.0\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\damian\Datos de programa\Juniper Networks\setup\UNINSTALL.EXE --> AutoExtraible

C:\WINDOWS\system32\WINMQX32.DLL.VIR.VIR.VIR --> Eliminado, BackDoor-CVT (notify)



Thu Feb 15 10:42:04 2007

EliTriIP v3.18 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\All Users\Datos de programa\SolidDocuments\Installer\Solid Converter PDF\damian\SolidSFX_Data\autorun.inf --> Eliminado, DownLoader.Horst (inf)


[/quote]



Entre estos dos debería haber el del ELITRIIP por accion directa ??? es que lo has borrado ???



saludos



ms, 15-02-2007

[devh]

no, no he tocado nada. Pase el elitrip este y al finalizar copié el contenido integro del archivo de texto que em dijiste.



Lo debo hacer otra vez? Que he hecho mal?



gracias

[msc hotline sat]

Esta claro, solo tienes que enviarnmos estos ficheros para que los pasemos a controlar con la proxima version del ELISTARA:







Por favor, envienos una muestra del fichero

C:\WinLogon\MLJJI.DLL



Por favor, envienos una muestra del fichero

C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.38



Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.38



Por favor, envienos una muestra del fichero

C:\Muestras\MLJJI.DLL.Muestra EliStartPage v12.38



Por favor, envienos una muestra del fichero

C:\Muestras\IXT0.DLL.Muestra EliStartPage v12.38



recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 16-02-2007

[devh]

ok, cuando pueda te lo mando.

No estoy muy familiarizado con el sistema del foro ya que normalmente he encontrado mi problema ya resuelto. Lo que entiendo es que te voy a mandar mis archivos "infectados" para ver que es lo que tienen y que no se detecta para incluirlo en la próxima edición del antivirus en cuestión??



Saludos y gracias.

[msc hotline sat]

Efectivamente, tras analizarlos, los "malos" son controlados y eliminados con las siguientes versiones de nuestras utilidades



saludos



ms, 16-02-2007

[msc hotline sat]

Recibidas las muestras solicitadas, vemos que fueron pedidas por una version del ELISTARA antiguo:



Thu Sep 21 16:03:04 2006

EliStartPage v12.38 (c)2006





cuando ya estamos por la 13.36, casi 100 versiones entre ellos ...



Siempre ha de probarse la ultima version, pues a diario implementamos nuevas detecciones de nuevas variantes de malwares, y de hecho con la actual ya le eliminará algunos de los que lee pediamos muestra, menos un VUNDO, que es desconocido y que se controlará con la version de hoy 13.37 complementada con el ELINOTIF.DLL, por lo que deberá bajar estos dos ficheros a una misma carpeta y desde ella ejecutar el ELINOTIF y reiniciar, para que lance automaticamente el ELINOTIF en el proximo reinicio y pueda eliminar el VUNDO.:





A partir de las 20 h de hoy, descargue



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



tras ello nos postea el contenido del c:\infosat.txt, gracias



saludos



ms, 20-02-2007

[devh]

pues ahi lo lleváis, ya están enviados.



Como sé cuando sale la nueva versión con el problema solucionado?



gracias y decir que hacéis un trabajo cojonudo en el site.



Saludos.

[lucl]

msc lo pone a partir de las ocho de la tarde en un mensaje, y ya puedes descargarlo y pasarlo , saludos

[msc hotline sat]

Cada día se indican las nuevas versiones de las nuevas utilidades subidas para evaluacion en esta web.



saludos



ms, 20-02-2007