HASTA LOS C... DE LOS VIRUS (SOLUCIONADO)

Kaleido25 · Mensaje por **Kaleido25** » 19 Feb 2007, 15:14

Wenas, me llamo Pablo, me gustaría que me ayudasen a solucionar los problemas de mi ordenador con los virus. Para ello les adjunto mi log(Hijackthis). Muchas gracias por anticipado.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\McAfee.com\Agent\McAgent.exe

C:\Archivos de programa\McAfee.com\Personal Firewall\MPFTray.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\SpyBro\SpyBro.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\AVG Anti-Spyware 7.5\guard.exe

c:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

c:\archiv~1\mcafee\mcafee antispyware\massrv.exe

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

c:\ARCHIV~1\mcafee.com\vso\OasClnt.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\lphant\eLePhantClient.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\HP_Propietario\Configuración local\Archivos temporales de Internet\Content.IE5\CFWFW91C\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q305&bd=pavilion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q305&bd=pavilion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q105&bd=pavilion&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = HTTP://WWW.MSN.ES/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q105&bd=pavilion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\archivos de programa\mcafee\spamkiller\mcapfbho.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {EF0F967B-8E5B-4396-8C0D-2BD663FAAC97} - (no file)

O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - (no file)

O3 - Toolbar: Vista de HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Archivos de programa\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [MCAgentExe] C:\ARCHIV~1\McAfee.com\Agent\McAgent.exe

O4 - HKLM\..\Run: [MPFEXE] "C:\Archivos de programa\McAfee.com\Personal Firewall\MPFTray.exe"

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [store tick spam bows] C:\Documents and Settings\All Users\Datos de programa\16 LOAD STORE TICK\ThunkUpload.exe

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Race Das offizielle WTCC-Spiel

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Slow Copy] C:\DOCUME~1\HP_PRO~1\DATOSD~1\GRAMDE~1\toolaxis.exe

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Steam] "C:\Archivos de programa\Steam\Steam.exe" -silent

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\archivos de programa\mcafee\spamkiller\mcapfbho.dll

O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\archivos de programa\mcafee\spamkiller\mcapfbho.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {2E28242B-A689-11D4-80F2-0040266CBB8D} (KXHCM10 Control) - http://125.206.34.115/kxhcm10.ocx

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://laburby.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://142.22.58.150/activex/AxisCamControl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4891/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5F4CFCD1-80DF-4AD1-9ECD-27B6BD997964}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: winzzc32 - winzzc32.dll (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: McAfee AntiSpyware Service - McAfee, Inc. - c:\archiv~1\mcafee\mcafee antispyware\massrv.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe

O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

O23 - Service: NBService - McAfee Inc. - (no file)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

Mensaje por **msc hotline sat** » 19 Feb 2007, 15:43

Desinstale el SpyBrowser y elimine estas claves:

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O20 - Winlogon Notify: winzzc32 - winzzc32.dll (file missing)

recuerde: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

Tras ello lance el ELISTARA, para eliminar claves no visibles en el log del HJT:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 19.02.2007

Kaleido25 · Mensaje por **Kaleido25** » 22 Feb 2007, 22:55

Hola, muchas gracias por atender mi solicitud de ayuda. He seguido paso a paso lo que me ha escrito en su respuesta; todo con normalidad, salvo cuando voy a postear el contenido de c:\infosat.txt No sé realmente si es un archivo, y si lo es dónde está?!

Le comento que en el proceso, el reinicio lo hice en modo "a prueba de fallos con funciones de red", hice bien?!

Otro dato es que al terminar de realizar su tarea el programa Elistara, sale un mensaje diciendo algo de incompleto debido a windows update. Es normal el mensaje? en caso contrario, como lo hago para que no me salga ese mensaje final en el Elistara?

Por último, justo al iniciar Elistara me sale un mesaje de recomendación de que envíe a una dirección de e-mail el informe del archivo C:\muestras.unistall.exe o parecido. Es necesario o conveniente enviar dicho informe? En caso de que sea necesario o conveniente, me puede recordar la dirección de e-mail a la que mandar dicho archivo?(se me olvidó apuntarla,jejeje)

Espero su respuesta. Un saludo. Muchas gracias por anticipado

Mensaje por **lucl** » 22 Feb 2007, 22:59

pues si señor, has de enviar lo que te dice, el log lo tienes en

C y se llama infosat.txt , copialo como respuesta, lo del windows update es que tienes que actualizar el pc pica aqui

https://support.microsoft.com/es-es/help/12373/windows-update-faq

y el envio has de hacerlo como se indica aqui

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

MrKogoyo · Mensaje por **MrKogoyo** » 22 Feb 2007, 23:01

[quote="Kaleido25"]Hola, muchas gracias por atender mi solicitud de ayuda. He seguido paso a paso lo que me ha escrito en su respuesta; todo con normalidad, salvo cuando voy a postear el contenido de c:\infosat.txt No sé realmente si es un archivo, y si lo es dónde está?!

Le comento que en el proceso, el reinicio lo hice en modo "a prueba de fallos con funciones de red", hice bien?!

Otro dato es que al terminar de realizar su tarea el programa Elistara, sale un mensaje diciendo algo de incompleto debido a windows update. Es normal el mensaje? en caso contrario, como lo hago para que no me salga ese mensaje final en el Elistara?

Por último, justo al iniciar Elistara me sale un mesaje de recomendación de que envíe a una dirección de e-mail el informe del archivo C:\muestras.unistall.exe o parecido. Es necesario o conveniente enviar dicho informe? En caso de que sea necesario o conveniente, me puede recordar la dirección de e-mail a la que mandar dicho archivo?(se me olvidó apuntarla,jejeje)

Espero su respuesta. Un saludo. Muchas gracias por anticipado[/quote]

1.- El archivo lo encuentra en la Unidad C: veras que hay un archivo de tecxto llamado InfoSat.txt, Abrelo copia el contenido y pegalo aqui

2.- El mensake que te aperece quiere decir que tienes que actualizar windows, asi que hazlo en la pagina de microsoft

3.- Una vez pegado el contenido nosotros veremos los ficheros que tendras que enviar

~~[b]~~¿COMO ENVIAR?:[/b]

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

~~[b]~~Slds. !![/b]

Kaleido25 · Mensaje por **Kaleido25** » 23 Feb 2007, 16:13

Muchas gracias por sus ayudas. He actualizado con Windows Update. Aquí les mando el informe de infosat.txt. A l vez, voy a enviar el mismo archivo(infosat.txt) junto al resultante de Elistara(C:\muestras\unistall.exe) a la dirección de e-mail que me señala el programa(zonavirus@satinfo.es).¿¿Estoy haciendo bien??

INFOSAT.TXT :

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\UNINSTALL.EXE.Muestra EliStartPage v13.39

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\HP_PROPIETARIO\MIS DOCUMENTOS\UNINSTALL.EXE --> Eliminado

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD

Eliminada Carpeta "%WinSys%\LogFiles"

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

ESPERO SUS RESPUSTAS. MUCHAS GRACIAS.

Pablo

Kaleido25 · Mensaje por **Kaleido25** » 23 Feb 2007, 16:22

Perdonad si no me he explicado como debía. El archivo unistall.exe no sé si es el resultante de utilizar el programa ELISTARA o si en cambio es el archivo INFOSAT.TXT. Lo cierto es que el archivo UNISTALL.EXE se me creó justo tras utilizar el programa, de ahí la confusión.

ESPERO SU RESPUESTA. MUCHAS GRACIAS.

Pablo

Mensaje por **lucl** » 23 Feb 2007, 19:47

el archivo del elistara es el infosat.txt, pèganos el resultado, gracias ,saludos.

Kaleido25 · Mensaje por **Kaleido25** » 24 Feb 2007, 15:16

Un poquito más arriba tienes el contenido del archivo INFOSAT.TXT pegado.

ESPERO SU RESPUESTA. MUCHAS GRACIAS

Pablo

Mensaje por **lucl** » 24 Feb 2007, 16:06

si, ya lo habia visto pero solo tienes el trozo correspondiente a por accion directa, te falta el el trozo que dice " por exploracion" tu has pegado esto

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\UNINSTALL.EXE.Muestra EliStartPage v13.39

a "virus@satinfo.es". Gracias.

tendria que salirte otro que dijera

Lista de acciones ( por exploracion)

por eso te pedi que lo pegaras de nuevo, y por si no lo has dejado pasar por completo , cuando sale explorar aceptaste? si es asi nos falta log por ver, otra cosa, enviaste ya UNINSTALL.EXE de la carpeta muestras?

por si no lo hiciste, te recuerdo, aunque dijiste que lo enviaras

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

si ya lo enviaste te lo analizaran y te diran algo el lunes por la mañana cuando entren a trabajar

saludos

Kaleido25 · Mensaje por **Kaleido25** » 09 Mar 2007, 21:00

Hola, aquí estoy de nuevo, veo que el tema de mi problema se ha quedado un tanto paralizado(la verdad es que no supe como seguir el proceso de resolución); por eso mismo he vuelto a hacer un log de HijackThis.

No sé si, después de pasarle todo tipo de programas al PC, mostrará peor o mejor situación de la que mostraba el primer log que mandé.

De todas formas ahí os envío este nueo log.

Espero vuestros sabios consejos. Muchas gracias por anticipado.

Pablo

Logfile of HijackThis v1.99.1

Scan saved at 19:54:43, on 09/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\AVG Anti-Spyware 7.5\guard.exe

c:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

c:\archiv~1\mcafee\mcafee antispyware\massrv.exe

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\Archivos de programa\McAfee.com\Personal Firewall\MPFTray.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe

C:\Archivos de programa\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\system32\ctfmon.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\APLICACIONES\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: Vista de HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Archivos de programa\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MPFEXE] "C:\Archivos de programa\McAfee.com\Personal Firewall\MPFTray.exe"

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Race Das offizielle WTCC-Spiel

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [store tick spam bows] C:\Documents and Settings\All Users\Datos de programa\16 LOAD STORE TICK\beeptrans.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\btrhebcq.dll",setvm

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Slow Copy] C:\DOCUME~1\HP_PRO~1\DATOSD~1\GRAMDE~1\toolaxis.exe

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Steam] "C:\Archivos de programa\Steam\Steam.exe" -silent

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\archivos de programa\mcafee\spamkiller\mcapfbho.dll

O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\archivos de programa\mcafee\spamkiller\mcapfbho.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2E28242B-A689-11D4-80F2-0040266CBB8D} (KXHCM10 Control) - http://125.206.34.115/kxhcm10.ocx

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://laburby.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172239150140

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://142.22.58.150/activex/AxisCamControl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4891/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5F4CFCD1-80DF-4AD1-9ECD-27B6BD997964}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: McAfee AntiSpyware Service - McAfee, Inc. - c:\archiv~1\mcafee\mcafee antispyware\massrv.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe (file missing)

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe

O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

O23 - Service: NBService - McAfee Inc. - (no file)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

AH, DECIROS QUE NO PARO DE TENER PROBLEMAS DE POP-UP POR SI OS SIRVE DE APUNTE ORIENTATIVO(Y POR MUCHOS PROGRAMAS QUE LE HE PASADO AHÍ SIGUE EL P... VIRUS)

Mensaje por **msc hotline sat** » 09 Mar 2007, 21:23

Enviaste el fichero como se te pedía ???

C:\Muestras\UNINSTALL.EXE

Has de adjuntarlo a un mail y dirigirlo a zonavirus@satinfo.es , como se indica en :

https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

además:

______

analisis del log de HJT:

elimina estas claves:

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Race Das offizielle WTCC-Spiel

O16 - DPF: {2E28242B-A689-11D4-80F2-0040266CBB8D} (KXHCM10 Control) - http://125.206.34.115/kxhcm10.ocx

O23 - Service: NBService - McAfee Inc. - (no file)

y envianos muestras para analizar de:

C:\Documents and Settings\All Users\Datos de programa\16 LOAD STORE TICK\beeptrans.exe

C:\WINDOWS\system32\btrhebcq.dll",setvm

C:\DOCUME~1\HP_PRO~1\DATOSD~1\GRAMDE~1\toolaxis.exe

recordar : https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

saludos

ms, 9-03-2007

Mensaje por **msc hotline sat** » 12 Mar 2007, 18:29

En los ficheros enviados hay 2 nuevas variantes de VUNDO que pasamos a controlar con el ELISTARA de hoy

recuerde que para el VUNDO es preciso complementarlo con el ELINOTIF.DLL

Apartir de las 20 h GMT, descarguelos y pruebelos

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminaicon y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Kaleido25 · Mensaje por **Kaleido25** » 15 Mar 2007, 14:36

Hola, muchas gracias por seguir conmigo en la batalla por eliminar a los muy cabr... de los virus.

Ya le he mandado el archivo infosat.txt por e-mail, y, a continuación, para que más gente pueda darme su opinión y ayuda, posteo el contenido del archivo en este mensaje.

MUCHAS GRACIAS Y ESPERO SU RESPUESTA.

Pablo

Thu Mar 15 13:03:14 2007

EliStartPage v13.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\GEEDC] -> C:\WINDOWS\SYSTEM32\GEEDC.DLL

Key Eliminada [WinLogon\Notify\URQRPMN] -> C:\WINDOWS\SYSTEM32\URQRPMN.DLL

C:\WINDOWS\SYSTEM32\URQRPMN.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\GEEDC.DLL --> Vundo (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\URQRPMN.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\GEEDC.DLL --> Vundo (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\URQRPMN.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\CDEEG.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\CDEEG.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\CDEEG.tmp --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "2chkdsk"="rundll32.exe "C:\WINDOWS\system32\btrhebcq.dll",setvm"

Eliminada Class, "{AFC37E94-71A5-4E7B-9480-BCA74A5EFE39}" -> C:\WINDOWS\system32\urqrpmn.dll

Eliminada Class, "{5CE0EB43-A432-4A8C-B8D4-3AF0661C7316}" -> C:\WINDOWS\system32\geedc.dll

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Mar 15 13:13:11 2007

EliStartPage v13.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\HP\Digital Imaging\{A1062847-0846-427A-92A1-BB8251A91E91}\MIGRATE.DLL --> Eliminado, RXBar

C:\Documents and Settings\All Users\Datos de programa\16 LOAD STORE TICK\FLAPLOGO.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\All Users\Datos de programa\16 LOAD STORE TICK\THUNKUPLOAD.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\HP_Propietario\Datos de programa\GRAMDEFAULT\GPSCWTOL.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\HP_Propietario\Datos de programa\GRAMDEFAULT\TOOLAXIS.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\HP_Propietario\Datos de programa\GRAMDEFAULT\UHLUYYLL.EXE --> Eliminado, Swizzor(lop)

C:\Muestras\GEEDC.DLL.MUESTRA ELISTARTPAGE V13.50 --> Eliminado, Vundo (notify)

C:\Muestras\URQRPMN.DLL.MUESTRA ELISTARTPAGE V13.50 --> Eliminado, DownLoader.ConHook (notify)

C:\WINDOWS\system32\BTRHEBCQ.DLL --> Acceso Denegado, Vundo4

C:\WINDOWS\system32\GEEDC.DLL --> Acceso Denegado, Vundo (notify)

C:\WINDOWS\system32\URQRPMN.DLL --> Acceso Denegado, DownLoader.ConHook (notify)

C:\WinLogon\GEEDC.DLL --> Eliminado, Vundo (notify)

C:\WinLogon\URQRPMN.DLL --> Eliminado, DownLoader.ConHook (notify)

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.03.13 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\geedc"

Elininado BHO: "{D769AB74-60F0-488F-B68F-D7C033C4D827}"

Elininada Class: "{D769AB74-60F0-488F-B68F-D7C033C4D827}"

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\urqrpmn.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\urqrpmn"

Desinstalado EliNotif.dll

Kaleido25 · Mensaje por **Kaleido25** » 15 Mar 2007, 14:45

AH, SE ME OLVIDABA, después de pasar el ELISTARA se vé una mejoría notable, pero cuando abro el explorador(INTERNET EXPLORER) y cada ciertos minutos surgen aún mensajes publicitarios(POP-UP). Sé de la existencia del POP-UP STOPPER, pero no quisiera depender de él para evitar esas ventanas publicitarias que no se sabe a qué vienen, puesto que el POP-UP STOPPER bloquea también(eso sí, facilmente desbloqueable) hasta las ventanas de descarga de archivos que suele abrir Windows.

NADA MÁS, ESTAMOS MEJOR QUE AYER PERO PEOR QUE MAÑANA. MUCHAS GRACIAS. ESPERO SU RESPUESTA AL INFOSAT.TXT

Pablo

Mensaje por **msc hotline sat** » 15 Mar 2007, 14:52

Asi da gusto, ver Eliminado, eliminado, eliminado...

Lo que indicas es propio de un BHO o de un DPF, voy a revisar el log del HJT, o mejor, posteanos uno de actual y trabajaremos sobre lo que te queda, gracias

saludos

ms, 15-03-2007

Kaleido25 · Mensaje por **Kaleido25** » 15 Mar 2007, 19:27

Hola, muchas gracias por su último mensaje y por la grata noticia que me das. A ver si podemos con el cabroncete que nos queda por ahí, el BHO o el DPF. Aquí te adjunto el log de Hijackthis para para ue otros usuarios experimentados puedan aconsejarme si quieren, aunque parece que me vá bastante bien con el que ya me aconseja :wink:

Logfile of HijackThis v1.99.1

Scan saved at 18:26:55, on 15/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Trend Micro\Internet Security 2007\pccguide.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\AVG Anti-Spyware 7.5\guard.exe

c:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\PcScnSrv.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\PccVScan.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\APLICACIONES\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {78096DF8-0AA1-436E-9681-BC0D68511788} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {AFC37E94-71A5-4E7B-9480-BCA74A5EFE39} - C:\WINDOWS\SYSTEM32\urqrpmn.dll (file missing)

O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\system32\sksxymco.dll

O2 - BHO: (no name) - {EF0F967B-8E5B-4396-8C0D-2BD663FAAC97} - (no file)

O2 - BHO: (no name) - {F0C8DD58-5B9A-456C-90AB-CA946675397f} - C:\WINDOWS\system32\oeeyparl.dll

O3 - Toolbar: Vista de HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Archivos de programa\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [store tick spam bows] C:\Documents and Settings\All Users\Datos de programa\16 LOAD STORE TICK\beeptrans.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [0065871173640908mcinstcleanup] C:\DOCUME~1\HP_PRO~1\CONFIG~1\Temp\006587~1.EXE C:\ARCHIV~1\ARCHIV~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security 2007\pccguide.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Slow Copy] C:\DOCUME~1\HP_PRO~1\DATOSD~1\GRAMDE~1\toolaxis.exe

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Steam] "C:\Archivos de programa\Steam\Steam.exe" -silent

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [OE] "C:\Archivos de programa\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe"

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://laburby.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172239150140

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://142.22.58.150/activex/AxisCamControl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4891/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5F4CFCD1-80DF-4AD1-9ECD-27B6BD997964}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Trend Micro Protection Against Spyware (PcScnSrv) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcScnSrv.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

PUES NADA, LARGO ES EL CAMINO, MAS FELIZ EL DESTINO.

MUCHAS GRACIAS POR LA AYUDA HASTA EL MOMENTO Y LA, ESPERO, FUTURA AYUDA. CUENTO CON VOSOTROS PARA PRÓXIMOS ATAQUES DE LOS P... VIRUS, PORQUE YA SE SABE QUE <<POCO DURA LA FELICIDAD EN LA CASA DEL POBRE>>

Pablo(MALAGA)

Mensaje por **msc hotline sat** » 15 Mar 2007, 20:15

Elimina estas claves:

O2 - BHO: (no name) - {78096DF8-0AA1-436E-9681-BC0D68511788} - (no file)

O2 - BHO: (no name) - {AFC37E94-71A5-4E7B-9480-BCA74A5EFE39} - C:\WINDOWS\SYSTEM32\urqrpmn.dll (file missing)

O2 - BHO: (no name) - {EF0F967B-8E5B-4396-8C0D-2BD663FAAC97} - (no file)

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

y envianos estos ficheros para analizar:

C:\WINDOWS\system32\sksxymco.dll

C:\WINDOWS\system32\oeeyparl.dll

C:\Documents and Settings\All Users\Datos de programa\16 LOAD STORE TICK\beeptrans.exe

C:\DOCUME~1\HP_PRO~1\DATOSD~1\GRAMDE~1\toolaxis.exe

recordar: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

tras recibirlos los analizaremos e informaremos

saludos

ms, 15-03-2007

Mensaje por **msc hotline sat** » 16 Mar 2007, 11:04

AL parecer se han recibido ficheros de texto, que deben postearse en el foro con un copiar y pegar, no enviarlos por mail, ya que los de analisis de muestras no hacen nada con ellos (aparte de enviarlos a la papelera) !

Pedimos que nos envie los ficheros ejecutables parfa monitorizarlos y controlarlos, no los de texto:

y envianos estos ficheros para analizar:

C:\WINDOWS\system32\sksxymco.dll

C:\WINDOWS\system32\oeeyparl.dll

C:\Documents and Settings\All Users\Datos de programa\16 LOAD STORE TICK\beeptrans.exe

C:\DOCUME~1\HP_PRO~1\DATOSD~1\GRAMDE~1\toolaxis.exe

recordar: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

saludos

ms, 16-03-2007

Mensaje por **msc hotline sat** » 19 Mar 2007, 16:37

De las muestras recibidas, 2 son .PF que no proceden, 3 son swizzors de los cuales 2 ya se controlan, y el otro junto con las 2 DLL pasan a controlarse en el ELISTARA 13.56 de hoy, que estará disponible en esta web para pruebas de evaluacion del foro de zonavirus, a partir de las 20 h GMT

saludos

ms, 19-03-2007

Mensaje por **msc hotline sat** » 22 Mar 2007, 11:27

Indican los de procesos que han recibido un infosat con su referencia... Por mail solo deben enviarse muestras sospechosas para analizar, los ficheros de texto, log o txt deben postearse en el foro, con un copiar y pegar de su contenido.

Suponemos que se verá que ha detectado y eliminado el malware, pero ya lo han borrado, posteelo como respuesta de este Tema para proceder a considerar solucionado el Tema si es el caso.

saludos

ms, 22-03-2007

Kaleido25 · Mensaje por **Kaleido25** » 23 Mar 2007, 21:42

Hola, aquí les copio el contenido del archivo Infosat.txt que se ha creado después de ejecutar en último Elistara(13.60). El ordenador me vá muy bien la verdad, por eso les pregunto si se le puede dar de alta o por el contrario hay algo aún que curar.Os copio también un log de Hijackthis por si encontrais algo. UN SALUDO. Espero su respuesta. Pablo

Fri Mar 23 20:31:03 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Fri Mar 23 20:31:22 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\OEEYPARL.DLL.VIR --> Eliminado, Klone.J

Fri Mar 23 20:38:32 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

LOG DE HIJACKTHIS:

Logfile of HijackThis v1.99.1

Scan saved at 20:47:11, on 23/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Trend Micro\Internet Security 2007\pccguide.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe

c:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\PcScnSrv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\APLICACIONES\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {F0C8DD58-5B9A-456C-90AB-CA946675397f} - C:\WINDOWS\system32\oeeyparl.dll (file missing)

O3 - Toolbar: Vista de HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Archivos de programa\HP\Digital Imaging\bin\HPDTLK02.dll

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [store tick spam bows] C:\Documents and Settings\All Users\Datos de programa\16 LOAD STORE TICK\beeptrans.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [0065871173640908mcinstcleanup] C:\DOCUME~1\HP_PRO~1\CONFIG~1\Temp\006587~1.EXE C:\ARCHIV~1\ARCHIV~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security 2007\pccguide.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Slow Copy] C:\DOCUME~1\HP_PRO~1\DATOSD~1\GRAMDE~1\toolaxis.exe

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Steam] "C:\Archivos de programa\Steam\Steam.exe" -silent

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [OE] "C:\Archivos de programa\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe"

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://laburby.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172239150140

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://142.22.58.150/activex/AxisCamControl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4891/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5F4CFCD1-80DF-4AD1-9ECD-27B6BD997964}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Trend Micro Protection Against Spyware (PcScnSrv) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcScnSrv.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

Mensaje por **msc hotline sat** » 23 Mar 2007, 22:12

Pues para rizar el rizo,

elimine esta clave:

O2 - BHO: (no name) - {F0C8DD58-5B9A-456C-90AB-CA946675397f} - C:\WINDOWS\system32\oeeyparl.dll (file missing)

Y envienos muestra de este fichero para analizar:

C:\Documents and Settings\All Users\Datos de programa\16 LOAD STORE TICK\beeptrans.exe

Y esta clave parece ser de McAfee y Vd tiene instalado Trend...:

O4 - HKLM\..\Run: [0065871173640908mcinstcleanup] C:\DOCUME~1\HP_PRO~1\CONFIG~1\Temp\006587~1.EXE C:\ARCHIV~1\ARCHIV~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog

si confirma que tuvo instalado McAfee, será un resto, elimine tambien dicha clave.

RECORDAR: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

Tras analizar la muestra solicitada y obrar en consecuencia, posiblemente habremos terminado, pero aseguremos el tiro !

saludos

ms, 23-03-2007

Kaleido25 · Mensaje por **Kaleido25** » 29 Mar 2007, 15:06

Pues eso amigos, podeis dar por solucionado el mi problema. Los únicos flecos que quedan son de mi imcumbencia, ya que tienen fácil solución con un sencillo antispyware-antivirus.

Acudí a ustedes por la magnitud que había cogido la infección de mi ordenador, pero tras la operación tan solo le queda un simple costipado.

MUCHAS GRACIAS POR TODO. Nos volveremos a escribir en el supuesto de que vuelva a complicarse la cosa.

Pablo

Mensaje por **msc hotline sat** » 29 Mar 2007, 15:50

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 29-03-2007

Mensaje por **msc hotline sat** » 04 Abr 2007, 12:23

Nota postcierre, aun tras ya estar solucionado, para el historico del caso:

[quote="msc hotline sat"]Aparte, paso informacion recibida ultimamente:

[quote]Pero a partir de ahora, a todos los afectados por el CiD, lo primero será tratar de desinstalar el programa desde Inicio -> Panel de Control -> Agregar o Quitar programas , luego pasar el ELISTARA y por ultimo y en modo seguro, lanzar el HJT y postearnos el log resultante.
[/quote]

saludos

ms, 4-04-2007[/quote]

HASTA LOS C... DE LOS VIRUS (SOLUCIONADO)

HASTA LOS C... DE LOS VIRUS (SOLUCIONADO)

INFOSAT.TXT y UNISTALL.EXE

INFOSAT.TXT y UNISTALL.EXE

Un poco más arriba lo tienes

NUEVO INFORME HIJACKTHIS

SEGUIMOS EN LA BATALLA

MUCHAS GRACIAS, SEGUIMOS...

LE DAMOS EL ALTA??

SOLUCIONADO