Ayuda con WIN32 TROJANDOWNLOADER, dichosa CID!.(SOLUCIONADO)

[wotankrieg]

Buenas, por fin me he inscrito en este foro, llevo mucho tiempo leyendoos sin registrarme, me habeis sido de gran ayuda, y vaya, fue por este dichoso spyware, he pasado el lavasoft ( que la primera vez que lo pase al tener este problema me mostro el win32 trojandownloader con una bola roja y 100% de peligro, despues se supone que lo borro porque no salio más) por lo que rendido me he decido en postearoslo, trabajo con el mozilla y con el explorer pero me sale con el explorer, una pesadez, paginas de viajes, y la cid, al final instale el zonealarm y al parecer me lo tiene "llamando a la puerta" es decir me avisa que ataca pero no lo deja hacer, esos avisos son:

Listfast.exe, otro que ahora no recuerdo, lo posteo en cuando salga ( ya lo vi = bagsbait.exe) y un intento de un puerto de conectarse.



He pasado mi NOD32 en modo prueba de fallos y nada de na-da, he pasado mil veces el spybot, lavasoft y nada, no lo entiendo



el resultado del Hijack es este:





Logfile of HijackThis v1.99.1

Scan saved at 17:06:33, on 17/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Raxco\PerfectDisk\PDAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Archivos de programa\DAEMON Tools\daemon.exe

C:\Documents and Settings\All Users\Datos de programa\burn ford extra help\listfast.exe

C:\ARCHIV~1\Yahoo!\MESSEN~1\ymsgr_tray.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrador\Escritorio\HiJackThis 1.99\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://es.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://es.search.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://es.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://es.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://es.search.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://es.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://es.search.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://es.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://es.search.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.51.52.6:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Archivos de programa\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 8\SnagItIEAddin.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [GBB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [zzzHPSETUP] F:\Setup.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [EXTRA HELP THUNK RDR] C:\Documents and Settings\All Users\Datos de programa\burn ford extra help\listfast.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [Meal Mess] C:\DOCUME~1\ADMINI~1\DATOSD~1\STYLED~1\bagsbait.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PDAgent - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDAgent.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe





Espero por favor me ayudeis, la verdad no soy nada manitas con esto del pc pero..intentare hacer lo que pueda, a ver si no tengo que llevar la pc al una tienda a que me quiten este troyano o formateen o algo porque estoy bien fastidiado.



GRACIAS!!!

[lucl]

Vayamos por partes, primero en modo seguro haz fix cheked a esta entrada



R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)



y pasate elistara en modo seguro y luego peganos el log que te dejara en C llamado infosat.txt como respuesta al tema, saludos



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp





http://www.zonavirus.com/descargas/elistara.asp

[wotankrieg]

Lucl muchisimas gracias , he seguido todos los pasos que me dijiste





Parece ser que me borro el tal Cid ese ¿no?, borro bastantes sino todos..pero lo que me tiene intrigado es que sigue apareciendome el aviso del zonealarm del listfast.exe,me emplea 30 megas de uso de memoria, tendria que saber que es ese listfast.exe, quien sabe si es dañino o no, o si es cualquier cosa sin peligro ¿ Como podria saberlo?



te adjunto el texto:





Sat Mar 17 22:11:37 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD

Eliminada Carpeta "%WinSys%\LogFiles"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Sat Mar 17 22:15:55 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Quintessential Media Player\MediaLibrary\Plugins\ML_WATCHFOLDERS.DLL --> Eliminado, 180Solutions

[wotankrieg]

Aqui te pongo la imagen del aviso que te comento:







[img][url=http://imageshack.us][img]http://img150.imageshack.us/img150/6313/avisopo4.jpg[/img][/url] [/img]

[Nuker]

Pues posteanos un log de HJT para ver procesos y programas en ejecucion. Abres le das en scan and save log file, copias contenido del bloc y pegas aqui.



HJT:

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp



Saludos.

[wotankrieg]

Si Nuke, aqui te lo pongo; Una cosa, me dijo antes Lucl que borrara un fix cheked y lo hice y me creo una carpeta con el nombre backup, ¿La borro?





Logfile of HijackThis v1.99.1

Scan saved at 1:27:50, on 18/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Raxco\PerfectDisk\PDAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\ARCHIV~1\Yahoo!\MESSEN~1\ymsgr_tray.exe

C:\Archivos de programa\Logitech\Video\FxSvr2.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\eMule\emule.exe

C:\DOCUME~1\ALLUSE~1\DATOSD~1\BURNFO~1\listfast.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrador\Escritorio\HiJackThis 1.99\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.51.52.6:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Archivos de programa\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 8\SnagItIEAddin.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [GBB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [zzzHPSETUP] F:\Setup.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PDAgent - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDAgent.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Nuker]

Tienes 2 ficheros extraños, te los muestro:



C:\DOCUME~1\ALLUSE~1\DATOSD~1\BURNFO~1\[b]listfast.exe[/b]



O4 - HKLM\..\Run: [zzzHPSETUP] F:\[b]Setup.exe [/b]



Lo que haras es enviarlos, sigue las rutas y una vez que los tengas los envias como te muestran aqui.



Envio de Muestras:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Lo que haras una vez que los hayas enviado sera renombrarlos a .vir ejemplo (listfast.vir) (setup.vir) en caso de que sean viricas no te daran problemas. Pero reinicias para obtener resultados.



Y en Modo Seguro pasate Elitriip, al terminar nos posteas el log que te creara en Unidad C, igual que Elistara.



Elitriip:

http://www.zonavirus.com/descargas/elitriip.asp



Modo Seguro:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

[wotankrieg]

[quote="Nuker"]Tienes 2 ficheros extraños, te los muestro:



C:\DOCUME~1\ALLUSE~1\DATOSD~1\BURNFO~1\[b]listfast.exe[/b]



O4 - HKLM\..\Run: [zzzHPSETUP] F:\[b]Setup.exe [/b]



Lo que haras es enviarlos, sigue las rutas y una vez que los tengas [/quote]

Perdona mi ignorancia, no se como enviarlos ni siquiera como localizarlos, ni se como ver las rutas.

[Nuker]

Para localizarlos...



C:\DOCUME~1\ALLUSE~1\DATOSD~1\BURNFO~1\listfast.exe



Este se localiza llendose a Unidad C/Documents and Settings/Alluse/Datos de Programa/Burnfo.../[b]listfast.exe[/b]



Si no ve la carpeta Datos de Programa desoculte ficheros como le indican aqui.



Desocultar Archivos:

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



Y este:



O4 - HKLM\..\Run: [zzzHPSETUP] F:\Setup.exe



Se va Unidad F y busque Setup.exe



Para enviarlos, necesita Winrar.



Winrar:

http://www.zonavirus.com/datos/descargas/106/Winrar.asp



Empaqueta los dos archivos les pone contraseña "VIRUS" y los envia. Para ver mas detalladamente en el link de arriba viene como (Envio de Muestras).

[wotankrieg]

Gracias, me aparecio la carpeta del listfast, curioso nombre "burn ford extrahelp" la he comprimido y la enviaré pero lo de la unidad F no es posible, es una unidad virtual creada por Daemon tools y si le doy doble click me pone [ inserte disco en la unidad F] , asi ni idea de como acceder a lo que me comentas.



"Lo que haras una vez que los hayas enviado sera renombrarlos a .vir ejemplo (listfast.vir) (setup.vir) en caso de que sean viricas no te daran problemas. Pero reinicias para obtener resultados. "





Esto que me dices , lo hago nada mas mande el winrar por correo?

[Nuker]

Si, asi es, una vez enviados renombralos. Solo les cambias el nombre (en este caso la terminacion).reinicias y nos comentas.

[wotankrieg]

Buenas, pase el elitriip y creo que solo me ha puesto esto=





Sun Mar 18 15:59:09 2007

EliTriIP v3.35 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun Mar 18 15:59:31 2007

EliTriIP v3.35 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\





Eso si, no me encontro ningún virus cuando hizo el test.

[Nuker]

Bien, pues solo hace falta esperar a los resultados, el lunes obtendra respuesta aqui en su Post.



Mientras tanto realize un Windows Update ya que es importante estar al dia.



Windows Update:

https://support.microsoft.com/es-es/help/12373/windows-update-faq



SALUDOS.

[wotankrieg]

Mañana a ver si esta.



Gracias

[wotankrieg]

Buenas



¿Se sabe algo ?



Gracias.



Por cierto cómo ves los resultados del elitiip porque yo no veo resultado alguno.

[msc hotline sat]

Pues muy importante lo que te indica el ELITRIIP de que te faltan parches !



Lanza un windowsupdate



Y sobre la muestra del .EXE )el otro no tiene extension y no se analiza), está en proceso, ya informaremos



saludos



ms, 19-03-2007

[msc hotline sat]

La muestra .EXE es un swizzor , se implementa su control y eliminacion en el ELISTARA de hoy 13.56 que estará disponible en esta web para evaluacion en el foro de zonavirus, a partir de las 20 h GMT



saludos



ms, 19-03-2007

[wotankrieg]

Entonces si es trojano ¿ Lo borro con el HIJACK o con cual ? ¿ Con que lo localizo y borro?



Era el filelist.exe que lo converti en filelist.vir ¿no?



Sobre el windows update deje de actulizarlo porque creo recordar no paraba de actualizar cada dos por tres y era muy molesto o hubo algún fallo, no recuerdo, pero ok entocnes hago el windows update y paso el elitriip no?



Muchas gracias.

[wotankrieg]

Entonces si es trojano ¿ Lo borro con el HIJACK o con cual ? ¿ Con que lo localizo y borro?



Era el filelist.exe que lo converti en filelist.vir ¿no?

[msc hotline sat]

Nada de eliminarlo manualmente !!!



En windows las aplicaciones no se eliminan borrando ficheros, sino DESINSTALANDOLAS, restaurando claves relacionadas, ficheros y demas.





Espera el ELISTARA DE HOY y lo pruebas, y tras ello nos posteas el contenido de c:\infosat.txt



saludos



ms, 20-03-2007

[wotankrieg]

Gracias, creo que lo mato por fin ¿¿No?





EliStartPage v13.57 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Wed Mar 21 00:31:47 2007

EliStartPage v13.57 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\Datos de programa\Style dumb\UMIUQLCA.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\All Users\Datos de programa\burn ford extra help\LISTFAST.VIR --> Eliminado, Swizzor(lop)





Gracias, espero ansioso la confirmación de su eliminación y algún consejito ;)

[Nuker]

Efectivamente fue eliminado por fin:



C:\Documents and Settings\Administrador\Datos de programa\Style dumb\UMIUQLCA.EXE --> [b]Eliminado, Swizzor(lop) [/b]



C:\Documents and Settings\All Users\Datos de programa\burn ford extra help\LISTFAST.VIR --> [b]Eliminado, Swizzor(lop) [/b]



Y consejos, pues cuidado a donde accede y que descarga, para eso se tiene que tener un Antivirus un Anti-Spyware, un Firewall y un Site Advisor como (McAfee).



Saludos.

[wotankrieg]

Os agradezco mil esto, además lo más importante he aprendido mucho, por fín internet sirve de verdad! JAAJAJA



Pues nada, mil gracias, un foro excepcional por la labor que haceis, impecable.



Saludos.

[msc hotline sat]

[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 21-03-2007