saludos
Mi PC ha encontrado un trojano A0002785.exe, pero mi antivirus lo pone en cuarentena y no lo elimina, qe puedo hacer para eliminarlo definitivamente??
gracias
jventura
problema con trojano
-
MrKogoyo
Prueba Pasando un AV ONLINE en MODO SEGURO con funciones de red
https://www.eset.es/analisis-online/
MODO SEGURO:
http://www.zonavirus.com/articulos/como ... fallos.asp
Tambien pasa esta herramienta, Tambien en MODO SEGURO
EliStarA:
http://www.zonavirus.com/descargas/elistara.asp
Una vez termina la EXPLORACIÓN, posteanos el CONTENIDO de C:/InfoSat.txt
Si no sucede nada, Envia aquel fichero para poder eliminarlo en posteariores versiones (dependiendo el programa)
¿COMO ENVIAR FICHERO?:
viewtopic.php?f=2&t=45334
https://www.eset.es/analisis-online/
MODO SEGURO:
http://www.zonavirus.com/articulos/como ... fallos.asp
Tambien pasa esta herramienta, Tambien en MODO SEGURO
EliStarA:
http://www.zonavirus.com/descargas/elistara.asp
Una vez termina la EXPLORACIÓN, posteanos el CONTENIDO de C:/InfoSat.txt
Si no sucede nada, Envia aquel fichero para poder eliminarlo en posteariores versiones (dependiendo el programa)
¿COMO ENVIAR FICHERO?:
viewtopic.php?f=2&t=45334
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Ante todo debe tenerse en cuenta que este fichero parece ser de los que crea windows en C:\System Volume Information\_restore por lo que para poder eliminarlo debe empezarse por desactivar la restauracion de sistema, y asi poder acceder a él y eliminarlo, sea lo que sea, tal como se explica en el post anterior, pero empezando por desactivar dicha restauracion de sistema:
Boton derecho sobre MIPC -> Propiedades -> Restaurar Sistema -> Desactivar Restaurar sistema ...
saludos
ms, 14-02-2007
Boton derecho sobre MIPC -> Propiedades -> Restaurar Sistema -> Desactivar Restaurar sistema ...
saludos
ms, 14-02-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
este es el resultado del Elistara
Tue Feb 13 23:15:28 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Msconfig"="G:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Tue Feb 13 23:15:58 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Wed Feb 14 01:37:25 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Wed Feb 14 01:37:54 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Wed Feb 14 01:38:05 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\
G:\Nueva carpeta\Drivers\Drivers\Antivirus\SpyFerret\SPYFERRET.EXE --> AutoExtraible
G:\Nueva carpeta\Drivers\Drivers\eDonkey\EDONKEY0.52.EXE --> AutoExtraible
G:\Nueva carpeta\respaldo\lic\Configuración local\Temp\AU_SETUPH.DLL --> Eliminado, NavHelper (BHO)
Tue Feb 13 23:15:28 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Msconfig"="G:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Tue Feb 13 23:15:58 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Wed Feb 14 01:37:25 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Wed Feb 14 01:37:54 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Wed Feb 14 01:38:05 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\
G:\Nueva carpeta\Drivers\Drivers\Antivirus\SpyFerret\SPYFERRET.EXE --> AutoExtraible
G:\Nueva carpeta\Drivers\Drivers\eDonkey\EDONKEY0.52.EXE --> AutoExtraible
G:\Nueva carpeta\respaldo\lic\Configuración local\Temp\AU_SETUPH.DLL --> Eliminado, NavHelper (BHO)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues aparte de lo que le ha eliminado el ELISTARA, con la restauracion de sistema deshabilitada, arranque en modo seguro y lance su antivirus que de esta forma le eliminará el fichero en cuestion del Restore
Tras ello no se olvide de volver a activar la restauracion de sistema
Y ya solo indiquenos que ha podido eliminar satisfactoriamente el fichero que no podía de otro modo y daremnos por solucionado el Tema
saludos
ms, 14-02-2007
Tras ello no se olvide de volver a activar la restauracion de sistema
Y ya solo indiquenos que ha podido eliminar satisfactoriamente el fichero que no podía de otro modo y daremnos por solucionado el Tema
saludos
ms, 14-02-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
saludos
sigo batallando con este virus el Webroot Spy Weeper lo detecta como "Trojan-Backdoor-USBHijack" Unique Code 5U3AGRN3 , el symantec lo detecta muy seguido y lo pone en cuarentena, baje el VCLEANER.EXE del AVG-Grisoft asi como la ultima actualizacion del AVG-free, entre en modo seguro junto con la desactivacion de restauracion del sistema y corri estos programas junto con el Elistara y el hijackthis.
los resultados son los siguientes:
Tue Feb 13 23:15:28 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Msconfig"="G:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Tue Feb 13 23:15:58 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Wed Feb 14 01:37:25 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Wed Feb 14 01:37:54 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Wed Feb 14 01:38:05 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\
G:\Nueva carpeta\Drivers\Drivers\Antivirus\SpyFerret\SPYFERRET.EXE --> AutoExtraible
G:\Nueva carpeta\Drivers\Drivers\eDonkey\EDONKEY0.52.EXE --> AutoExtraible
G:\Nueva carpeta\respaldo\lic\Configuración local\Temp\AU_SETUPH.DLL --> Eliminado, NavHelper (BHO)
Fri Feb 16 09:45:07 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Msconfig"="G:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Fri Feb 16 09:45:19 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Fri Feb 16 09:45:31 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\
G:\Nueva carpeta\Drivers\Drivers\Antivirus\SpyFerret\SPYFERRET.EXE --> AutoExtraible
G:\Nueva carpeta\Drivers\Drivers\eDonkey\EDONKEY0.52.EXE --> AutoExtraible
Fri Feb 16 09:56:02 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
***********************************************
Logfile of HijackThis v1.97.7
Scan saved at 10:08:44, on 16/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\Archivos de programa\Grisoft\AVG Free\avgcc.exe
G:\Nueva carpeta\Drivers\Drivers\Antivirus\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.com.mx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://G:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: G:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167839032177
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
**********************************************************************************************
RESULTADOS DE SYMANTEC
Risk,Action,Count,Filename,Threat Type,Original Location,Computer,User,Status,Current Location,Primary Action,Secondary Action,Logged By,Action Description,Date
Trojan Horse,Quarantined,2,VBR116.TMP,File,G:\DOCUME~1\AMADA\CONFIG~1\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:42:35
Trojan Horse,Partial,1,VBR116.TMP,File,G:\Documents and Settings\Amada\Configuración local\Temp\,PEPE,PEPE\Amada,Infected,G:\Documents and Settings\Amada\Configuración local\Temp\,Clean security risk,Leave alone (log only),Manual Quarantine Scan,Clean was partially successful.,16/02/2007 1:42:14
Trojan Horse,Quarantined,2,DWHAE99.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:21:51
Trojan Horse,Quarantined,2,DWHD106.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:19:06
Trojan Horse,Quarantined,2,DWHCD4E.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:18:51
Trojan Horse,Quarantined,2,DWHE675.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:18:39
Trojan Horse,Quarantined,2,DWHE23C.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:18:28
Trojan Horse,Quarantined,2,DWHDD44.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:18:18
Trojan Horse,Quarantined,2,DWHD4EF.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:18:02
Trojan Horse,Quarantined,2,DWH97E6.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:16:14
Trojan Horse,Quarantined,2,DWH3B1B.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:16:00
Trojan Horse,Quarantined,2,DWH913F.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:15:48
Trojan Horse,Quarantined,2,DWH8B07.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:15:20
Trojan Horse,Quarantined,2,DWHD746.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,13/02/2007 23:02:14
Trojan Horse,Quarantined,2,DWHADA6.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,13/02/2007 23:02:07
Trojan Horse,Quarantined,2,A0002785.EXE,File,G:\SYSTEM~1\_RESTO~1\RP22\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,13/02/2007 15:46:16
Trojan Horse,Partial,2,A0002785.exe,File,G:\System Volume Information\_restore{A985176C-EB1C-494E-8DA4-D1DF6F64D1DF}\RP22\,PEPE,PEPE\SYSTEM,Infected,G:\System Volume Information\_restore{A985176C-EB1C-494E-8DA4-D1DF6F64D1DF}\RP22\,Clean security risk,Quarantine,Auto-Protect scan,Quarantine was partially successful.,13/02/2007 15:46:08
Trojan Horse,Quarantined,2,DWH2C2B.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,13/02/2007 11:11:48
Trojan Horse,Quarantined,2,Autorun.inf,File,I:\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,13/02/2007 11:02:17
Trojan Horse,Quarantined,1,KOfcpfwSvcs.exe,File,G:\WINDOWS\system32\,PEPE,PEPE\Amada,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,08/02/2007 17:23:26
Trojan Horse,Terminate Process Required,5,kofcpfwsvcs.exe,File,g:\WINDOWS\system32\,PEPE,PEPE\Amada,Infected,g:\WINDOWS\system32\,Clean security risk,Leave alone (log only),Manual scan, ,07/02/2007 21:19:22
Hacktool,Deleted,2,2876_Z~1.EXE,File,G:\DOCUME~1\Amada\CONFIG~1\Temp\,PEPE,PEPE\Amada,Deleted,Deleted,Clean security risk,Quarantine,Auto-Protect scan,The file was deleted successfully.,06/01/2007 15:21:42
Hacktool,Deleted,2,2876_Z~1.EXE,File,G:\DOCUME~1\Amada\CONFIG~1\Temp\,PEPE,PEPE\Amada,Deleted,Deleted,Clean security risk,Quarantine,Auto-Protect scan,The file was deleted successfully.,06/01/2007 15:21:26
**********************************************************************************************
RESULTADO WEBROOT SPY SWEEPER
trojan-backdoor-usbhijack
Unique Code 5U3AGRN3
espero me puedan ayudar.
sigo batallando con este virus el Webroot Spy Weeper lo detecta como "Trojan-Backdoor-USBHijack" Unique Code 5U3AGRN3 , el symantec lo detecta muy seguido y lo pone en cuarentena, baje el VCLEANER.EXE del AVG-Grisoft asi como la ultima actualizacion del AVG-free, entre en modo seguro junto con la desactivacion de restauracion del sistema y corri estos programas junto con el Elistara y el hijackthis.
los resultados son los siguientes:
Tue Feb 13 23:15:28 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Msconfig"="G:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Tue Feb 13 23:15:58 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Wed Feb 14 01:37:25 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Wed Feb 14 01:37:54 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Wed Feb 14 01:38:05 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\
G:\Nueva carpeta\Drivers\Drivers\Antivirus\SpyFerret\SPYFERRET.EXE --> AutoExtraible
G:\Nueva carpeta\Drivers\Drivers\eDonkey\EDONKEY0.52.EXE --> AutoExtraible
G:\Nueva carpeta\respaldo\lic\Configuración local\Temp\AU_SETUPH.DLL --> Eliminado, NavHelper (BHO)
Fri Feb 16 09:45:07 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Msconfig"="G:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Fri Feb 16 09:45:19 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Fri Feb 16 09:45:31 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\
G:\Nueva carpeta\Drivers\Drivers\Antivirus\SpyFerret\SPYFERRET.EXE --> AutoExtraible
G:\Nueva carpeta\Drivers\Drivers\eDonkey\EDONKEY0.52.EXE --> AutoExtraible
Fri Feb 16 09:56:02 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
***********************************************
Logfile of HijackThis v1.97.7
Scan saved at 10:08:44, on 16/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\Archivos de programa\Grisoft\AVG Free\avgcc.exe
G:\Nueva carpeta\Drivers\Drivers\Antivirus\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://G:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: G:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
**********************************************************************************************
RESULTADOS DE SYMANTEC
Risk,Action,Count,Filename,Threat Type,Original Location,Computer,User,Status,Current Location,Primary Action,Secondary Action,Logged By,Action Description,Date
Trojan Horse,Quarantined,2,VBR116.TMP,File,G:\DOCUME~1\AMADA\CONFIG~1\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:42:35
Trojan Horse,Partial,1,VBR116.TMP,File,G:\Documents and Settings\Amada\Configuración local\Temp\,PEPE,PEPE\Amada,Infected,G:\Documents and Settings\Amada\Configuración local\Temp\,Clean security risk,Leave alone (log only),Manual Quarantine Scan,Clean was partially successful.,16/02/2007 1:42:14
Trojan Horse,Quarantined,2,DWHAE99.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:21:51
Trojan Horse,Quarantined,2,DWHD106.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:19:06
Trojan Horse,Quarantined,2,DWHCD4E.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:18:51
Trojan Horse,Quarantined,2,DWHE675.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:18:39
Trojan Horse,Quarantined,2,DWHE23C.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:18:28
Trojan Horse,Quarantined,2,DWHDD44.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:18:18
Trojan Horse,Quarantined,2,DWHD4EF.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:18:02
Trojan Horse,Quarantined,2,DWH97E6.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:16:14
Trojan Horse,Quarantined,2,DWH3B1B.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:16:00
Trojan Horse,Quarantined,2,DWH913F.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:15:48
Trojan Horse,Quarantined,2,DWH8B07.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,16/02/2007 1:15:20
Trojan Horse,Quarantined,2,DWHD746.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,13/02/2007 23:02:14
Trojan Horse,Quarantined,2,DWHADA6.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,13/02/2007 23:02:07
Trojan Horse,Quarantined,2,A0002785.EXE,File,G:\SYSTEM~1\_RESTO~1\RP22\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,13/02/2007 15:46:16
Trojan Horse,Partial,2,A0002785.exe,File,G:\System Volume Information\_restore{A985176C-EB1C-494E-8DA4-D1DF6F64D1DF}\RP22\,PEPE,PEPE\SYSTEM,Infected,G:\System Volume Information\_restore{A985176C-EB1C-494E-8DA4-D1DF6F64D1DF}\RP22\,Clean security risk,Quarantine,Auto-Protect scan,Quarantine was partially successful.,13/02/2007 15:46:08
Trojan Horse,Quarantined,2,DWH2C2B.TMP,File,G:\WINDOWS\TEMP\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,13/02/2007 11:11:48
Trojan Horse,Quarantined,2,Autorun.inf,File,I:\,PEPE,PEPE\SYSTEM,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,13/02/2007 11:02:17
Trojan Horse,Quarantined,1,KOfcpfwSvcs.exe,File,G:\WINDOWS\system32\,PEPE,PEPE\Amada,Infected,Quarantine,Clean security risk,Quarantine,Auto-Protect scan,The file was quarantined successfully.,08/02/2007 17:23:26
Trojan Horse,Terminate Process Required,5,kofcpfwsvcs.exe,File,g:\WINDOWS\system32\,PEPE,PEPE\Amada,Infected,g:\WINDOWS\system32\,Clean security risk,Leave alone (log only),Manual scan, ,07/02/2007 21:19:22
Hacktool,Deleted,2,2876_Z~1.EXE,File,G:\DOCUME~1\Amada\CONFIG~1\Temp\,PEPE,PEPE\Amada,Deleted,Deleted,Clean security risk,Quarantine,Auto-Protect scan,The file was deleted successfully.,06/01/2007 15:21:42
Hacktool,Deleted,2,2876_Z~1.EXE,File,G:\DOCUME~1\Amada\CONFIG~1\Temp\,PEPE,PEPE\Amada,Deleted,Deleted,Clean security risk,Quarantine,Auto-Protect scan,The file was deleted successfully.,06/01/2007 15:21:26
**********************************************************************************************
RESULTADO WEBROOT SPY SWEEPER
trojan-backdoor-usbhijack
Unique Code 5U3AGRN3
espero me puedan ayudar.
- Adjuntos
-
- hijackthis.txt
- hijackthis corrido en modo seguro
- (1.66 KiB) Descargado 28 veces
saludos
ya realize el upgrade de winXP, no me dejaba pero ya pude, el hijackthis lo corri despues de la actualizacion.
Logfile of HijackThis v1.97.7
Scan saved at 14:13:27, on 16/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
G:\WINDOWS\Explorer.EXE
G:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
G:\WINDOWS\system32\spoolsv.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
G:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
G:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
G:\Archivos de programa\Winamp\winampa.exe
G:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
G:\ARCHIV~1\SYMANT~1\VPTray.exe
G:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
G:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
G:\WINDOWS\system32\hphmon06.exe
G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe
G:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
G:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
G:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
G:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe
G:\Archivos de programa\Messenger\msmsgs.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE
G:\WINDOWS\system32\HPZipm12.exe
G:\Archivos de programa\Internet Explorer\iexplore.exe
G:\Nueva carpeta\Drivers\Drivers\Antivirus\HijackThis\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinampAgent] "G:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [vptray] G:\ARCHIV~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [RemoteControl] "G:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] "G:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [KOfcpfwSvcs.exe] G:\WINDOWS\system32\KOfcpfwSvcs.exe
O4 - HKLM\..\Run: [HPHUPD06] "G:\Archivos de programa\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe"
O4 - HKLM\..\Run: [HPHmon06] G:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe
O4 - HKLM\..\Run: [HP Software Update] "G:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "G:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ccApp] "G:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AVG7_EMC] G:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [AVG7_CC] "G:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [SpySweeper] "G:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [MSMSGS] "G:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = G:\Archivos de programa\HP\digital imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = G:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://G:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia (HKLM)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: G:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167839032177
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
ya realize el upgrade de winXP, no me dejaba pero ya pude, el hijackthis lo corri despues de la actualizacion.
Logfile of HijackThis v1.97.7
Scan saved at 14:13:27, on 16/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
G:\WINDOWS\Explorer.EXE
G:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
G:\WINDOWS\system32\spoolsv.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
G:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
G:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
G:\Archivos de programa\Winamp\winampa.exe
G:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
G:\ARCHIV~1\SYMANT~1\VPTray.exe
G:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
G:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
G:\WINDOWS\system32\hphmon06.exe
G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe
G:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
G:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
G:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
G:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe
G:\Archivos de programa\Messenger\msmsgs.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE
G:\WINDOWS\system32\HPZipm12.exe
G:\Archivos de programa\Internet Explorer\iexplore.exe
G:\Nueva carpeta\Drivers\Drivers\Antivirus\HijackThis\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinampAgent] "G:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [vptray] G:\ARCHIV~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [RemoteControl] "G:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] "G:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [KOfcpfwSvcs.exe] G:\WINDOWS\system32\KOfcpfwSvcs.exe
O4 - HKLM\..\Run: [HPHUPD06] "G:\Archivos de programa\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe"
O4 - HKLM\..\Run: [HPHmon06] G:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe
O4 - HKLM\..\Run: [HP Software Update] "G:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "G:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ccApp] "G:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AVG7_EMC] G:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [AVG7_CC] "G:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [SpySweeper] "G:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [MSMSGS] "G:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = G:\Archivos de programa\HP\digital imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = G:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://G:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia (HKLM)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: G:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Esta version del HJT es superobsoleta, actualicela y utilicela para postear nuevo log, gracias
Descargar Hijackthis
Pero incluso con este salta a la vista lo siguiente:
Norton y AVG simultaneos !! Desinstale uno de los dos !!!
y tiene un BACKDOOR CKB, el que infecta memorias USB !!!:
dado que tiene este fichero en uso: KOfcpfwSvcs.exe
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
y tras actualizar el HJT y probar nuestras utilidades ELITRIIP, lance el nuevo HJT y posteenos el log de entonces
saludos
ms, 16-02-2007
Descargar Hijackthis
Pero incluso con este salta a la vista lo siguiente:
Norton y AVG simultaneos !! Desinstale uno de los dos !!!
y tiene un BACKDOOR CKB, el que infecta memorias USB !!!:
dado que tiene este fichero en uso: KOfcpfwSvcs.exe
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
y tras actualizar el HJT y probar nuestras utilidades ELITRIIP, lance el nuevo HJT y posteenos el log de entonces
saludos
ms, 16-02-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
saludos
corri el elitriip en modo normal y me borro 2 registros, despues desactive la rest del sistema y lo corri en modo seguro entrando con f8,
regrese a modo seguro, desactive el AVG y SPY Sweeper y corri el hijackthis, anexo resultados.
gracias x su apoyo.
Logfile of HijackThis v1.99.1
Scan saved at 2:17:03, on 17/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
G:\WINDOWS\Explorer.EXE
G:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
G:\WINDOWS\system32\spoolsv.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
G:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
G:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
G:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
G:\Archivos de programa\Winamp\winampa.exe
G:\ARCHIV~1\SYMANT~1\VPTray.exe
G:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe
G:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
G:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
G:\Archivos de programa\Symantec AntiVirus\DoScan.exe
G:\WINDOWS\system32\hphmon06.exe
G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe
G:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
G:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
G:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Archivos de programa\Messenger\msmsgs.exe
G:\WINDOWS\system32\HPZipm12.exe
G:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
G:\WINDOWS\system32\wuauclt.exe
G:\WINDOWS\system32\wuauclt.exe
G:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE
G:\Documents and Settings\Amada\Escritorio\HijackThis.exe
G:\ARCHIV~1\SYMANT~1\DWHWIZRD.EXE
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinampAgent] "G:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [vptray] G:\ARCHIV~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [RemoteControl] "G:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] "G:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [KOfcpfwSvcs.exe] G:\WINDOWS\system32\KOfcpfwSvcs.exe
O4 - HKLM\..\Run: [HPHUPD06] "G:\Archivos de programa\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe"
O4 - HKLM\..\Run: [HPHmon06] G:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe
O4 - HKLM\..\Run: [HP Software Update] "G:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "G:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ccApp] "G:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AVG7_EMC] G:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [AVG7_CC] "G:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [SpySweeper] "G:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "G:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = G:\Archivos de programa\HP\digital imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = G:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://G:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: G:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5CF549B1-E178-4D8C-ADEF-73F226644F12} -http://www.webvdecor.com/app/WebVDSetUp.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167839032177
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {A0F3DE0D-9308-4650-82A0-53F0C17D7D65} (Web2D Control) -http://www.webvdecor.com/app/WebVD.cab
O20 - Winlogon Notify: NavLogon - G:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - G:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - G:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - G:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - G:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - G:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - G:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - G:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
O23 - Service: Pml Driver HPZ12 - HP - G:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - symantec - G:\Archivos de programa\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - G:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - G:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - G:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - G:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
******************************************
Sat Feb 17 01:23:35 2007
EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Sat Feb 17 01:23:41 2007
EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\
G:\Nueva carpeta\Drivers\Drivers\Antivirus\WinPatrol\DISK1\AUTORUN.INF --> Eliminado, DownLoader.Horst (inf)
Sat Feb 17 01:35:44 2007
EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sat Feb 17 01:35:55 2007
EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\VSO\VSO DivXToDVD\MEDICINADivXToDvd.exe --> Eliminado, Bifrose (dropper)
D:\System Volume Information\_restore{A985176C-EB1C-494E-8DA4-D1DF6F64D1DF}\RP3\A0000267.exe --> Eliminado, Bifrose (dropper)
Sat Feb 17 01:46:28 2007
EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "msconfig"="G:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Sat Feb 17 01:46:44 2007
EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\
Sat Feb 17 01:55:16 2007
EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sat Feb 17 01:55:25 2007
EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Sat Feb 17 01:56:04 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Feb 17 01:56:41 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Sat Feb 17 01:56:49 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sat Feb 17 01:56:54 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sat Feb 17 01:56:59 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\
G:\Nueva carpeta\Drivers\Drivers\Antivirus\SpyFerret\SPYFERRET.EXE --> AutoExtraible
G:\Nueva carpeta\Drivers\Drivers\eDonkey\EDONKEY0.52.EXE --> AutoExtraible
corri el elitriip en modo normal y me borro 2 registros, despues desactive la rest del sistema y lo corri en modo seguro entrando con f8,
regrese a modo seguro, desactive el AVG y SPY Sweeper y corri el hijackthis, anexo resultados.
gracias x su apoyo.
Logfile of HijackThis v1.99.1
Scan saved at 2:17:03, on 17/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
G:\WINDOWS\Explorer.EXE
G:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
G:\WINDOWS\system32\spoolsv.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
G:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
G:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
G:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
G:\Archivos de programa\Winamp\winampa.exe
G:\ARCHIV~1\SYMANT~1\VPTray.exe
G:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe
G:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
G:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
G:\Archivos de programa\Symantec AntiVirus\DoScan.exe
G:\WINDOWS\system32\hphmon06.exe
G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe
G:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
G:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
G:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Archivos de programa\Messenger\msmsgs.exe
G:\WINDOWS\system32\HPZipm12.exe
G:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
G:\WINDOWS\system32\wuauclt.exe
G:\WINDOWS\system32\wuauclt.exe
G:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE
G:\Documents and Settings\Amada\Escritorio\HijackThis.exe
G:\ARCHIV~1\SYMANT~1\DWHWIZRD.EXE
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinampAgent] "G:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [vptray] G:\ARCHIV~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [RemoteControl] "G:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] "G:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [KOfcpfwSvcs.exe] G:\WINDOWS\system32\KOfcpfwSvcs.exe
O4 - HKLM\..\Run: [HPHUPD06] "G:\Archivos de programa\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe"
O4 - HKLM\..\Run: [HPHmon06] G:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe
O4 - HKLM\..\Run: [HP Software Update] "G:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "G:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ccApp] "G:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AVG7_EMC] G:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [AVG7_CC] "G:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [SpySweeper] "G:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "G:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = G:\Archivos de programa\HP\digital imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = G:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://G:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: G:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5CF549B1-E178-4D8C-ADEF-73F226644F12} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
O16 - DPF: {A0F3DE0D-9308-4650-82A0-53F0C17D7D65} (Web2D Control) -
O20 - Winlogon Notify: NavLogon - G:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - G:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - G:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - G:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - G:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - G:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - G:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - G:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
O23 - Service: Pml Driver HPZ12 - HP - G:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - symantec - G:\Archivos de programa\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - G:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - G:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - G:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - G:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
******************************************
Sat Feb 17 01:23:35 2007
EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Sat Feb 17 01:23:41 2007
EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\
G:\Nueva carpeta\Drivers\Drivers\Antivirus\WinPatrol\DISK1\AUTORUN.INF --> Eliminado, DownLoader.Horst (inf)
Sat Feb 17 01:35:44 2007
EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sat Feb 17 01:35:55 2007
EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\VSO\VSO DivXToDVD\MEDICINADivXToDvd.exe --> Eliminado, Bifrose (dropper)
D:\System Volume Information\_restore{A985176C-EB1C-494E-8DA4-D1DF6F64D1DF}\RP3\A0000267.exe --> Eliminado, Bifrose (dropper)
Sat Feb 17 01:46:28 2007
EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "msconfig"="G:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Sat Feb 17 01:46:44 2007
EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\
Sat Feb 17 01:55:16 2007
EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sat Feb 17 01:55:25 2007
EliTriIP v3.19 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Sat Feb 17 01:56:04 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Feb 17 01:56:41 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Sat Feb 17 01:56:49 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sat Feb 17 01:56:54 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sat Feb 17 01:56:59 2007
EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\
G:\Nueva carpeta\Drivers\Drivers\Antivirus\SpyFerret\SPYFERRET.EXE --> AutoExtraible
G:\Nueva carpeta\Drivers\Drivers\eDonkey\EDONKEY0.52.EXE --> AutoExtraible
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues debe tratarse de una variante del Backdoor CKB no controlada, ya que lo sigues teniendo activo :
G:\WINDOWS\system32\KOfcpfwSvcs.exe
envíanos muestra de dicho fichero para analizar y controlar en la proxima version del ELITRIIP
viewtopic.php?f=2&t=45334
Pero aparte, sigues teniendo AVG, Norton y todo lo demas instalado y residente:
mira una parte del principio de tu log:
Ya lo controlaremos, pero ojo con tus memorias USB, ahora estan infectadas e infectando por solo ponerlas en cualquier ordenador
saludos
ms, 17-02-2007
G:\WINDOWS\system32\KOfcpfwSvcs.exe
envíanos muestra de dicho fichero para analizar y controlar en la proxima version del ELITRIIP
viewtopic.php?f=2&t=45334
Pero aparte, sigues teniendo AVG, Norton y todo lo demas instalado y residente:
mira una parte del principio de tu log:
Bueno, recuerda que tienes una variante de ese virusG:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
G:\WINDOWS\Explorer.EXE
G:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
G:\WINDOWS\system32\spoolsv.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
G:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
G:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
G:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
G:\Archivos de programa\Winamp\winampa.exe
G:\ARCHIV~1\SYMANT~1\VPTray.exe
G:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe
G:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
G:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
G:\Archivos de programa\Symantec AntiVirus\DoScan.exe
G:\WINDOWS\system32\hphmon06.exe
G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe
G:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
G:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
G:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
G:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
Ya lo controlaremos, pero ojo con tus memorias USB, ahora estan infectadas e infectando por solo ponerlas en cualquier ordenador
saludos
ms, 17-02-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Antes de cerrar el Tema hace falta controlar este fichero que te pediamos nos envbiaras, pues debe ser una variante del Backdoor CKB no controlada que necesitamos analizar:
msc escribió: Pues debe tratarse de una variante del Backdoor CKB no controlada, ya que lo sigues teniendo activo :
G:\WINDOWS\system32\KOfcpfwSvcs.exe
envianos muestra de dicho fichero para analizar y controlar en la proxima version del ELITRIIP
viewtopic.php?f=2&t=45334
Código: Seleccionar todo
Tras recibirla, la analizaremos e implementaremos su control y eliminacion en la proxima version del ELITRIIP. saludos ms, 20-02-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online