Hola a todos!!
A ver si me podéis ayudar...
Hace como un mes formatee mi pc y volvi a instalar el antivirus y to las cosas, pero dsd pocos dias después me empezaron a salir ventanas emergentes cuando abro el explorer, el firefox... no son de internet, son algo que yo tengo residente pero no se q es, lo antivirus, antiespias, etc solo me detectan cosas en archivos temporales y cookies, bueno, el Avast salta de vez en cuando diciendome que algo es un troyano y yo siempre lo meto en el baúl.
Las ventanas emergentes del explorer o firefox son entre otras winAntivius, Meeting, searcherslave y otras de cosas de virus, y también se abre una con una IP en la barra de título 65.243.103.58, pero siempre pone que no se puede encontrar la página.
¿QUé es y como lo quito???
y aparte de eso ya... Al iniciar windows siempre me da un mensaje de que un archivo con datos del registro ha sido recuperado satisfactoriamente de una copia alternativa ¿¿¿??? y no puedo hacer checkdisk de ninguna forma, desde windows me dice que necesita tener acceso exclusivo, y si lo programo, cuando arranca me dice que no se puede abrir el volumen para acceso directo.
¿¿¿TIro el PC a la basura directamente???
Gracias
¿que tengo?
Nada de tirar la PC, empieze pasando estas 2 herramientas en Modo Seguro, para esto descarga, guarda las herramientas en su escritorio y las corre en Modo Seguro. Al terminar todas estas le crearan un log en Unidad C, con el nombre de infoSat.txt copia el contenido que venga en el bloc de notas y no lo pega aqui para ver el resultado de eliminacion.
Elistara:
http://www.zonavirus.com/descargas/elistara.asp
Elinotif.dll (Esta la descarga y la guarda en la misma carpeta que Elistara, ya sea en el escritorio y Elistara lo detectara y ejecutara automaticamente, dado a que no es ejecutable):
http://www.zonavirus.com/descargas/elinotif.asp
Elitriip:
http://www.zonavirus.com/descargas/elitriip.asp
Modo Seguro:
http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp
Y para ahorrar tiempo al terminar todo esto nos va a pegar su log de HijackThis tambien, pero a diferencia de los otros este programa lo pasara en Modo Normal, abre, le da en scan and save log file, copia contenido del bloc de notas y lo pega aqui para rematar claves.
HijackThis:
http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp
Saludos. Y esperamos logs.
[u]Atendido a las 4:59 p.m. (Hora México) 13/04/07[/u]
Elistara:
Elinotif.dll (Esta la descarga y la guarda en la misma carpeta que Elistara, ya sea en el escritorio y Elistara lo detectara y ejecutara automaticamente, dado a que no es ejecutable):
Elitriip:
Modo Seguro:
Y para ahorrar tiempo al terminar todo esto nos va a pegar su log de HijackThis tambien, pero a diferencia de los otros este programa lo pasara en Modo Normal, abre, le da en scan and save log file, copia contenido del bloc de notas y lo pega aqui para rematar claves.
HijackThis:
Saludos. Y esperamos logs.
[u]Atendido a las 4:59 p.m. (Hora México) 13/04/07
[DJ eXploit]
No es necesario tirarlo a la basura, hay formas de solucionar tu problema, lo importante es no desesperarse.
Ademas de escanear con Elitrip y ElistarA en modo a prueba de fallos y luego pegar el log en este post que eso por supuesto te lo diran los administradores de este foro, lo que podrias hacer mientras, es escanear con Adware S.E. y Spybot-Search and Destroy en modo a prueba de fallos para ver que bicho te encuentran. Y tambien escanear con los antivirus online en modo a prueba de fallos con opcion de red y con la restauracion de sistema desactivado para tener una segunda opinion.
Estos antivirus online estan en la pagina de inicio de Zonavirus, y hay para elegir, pero el que mas se recomienda en este foro es: Computer Associates y Panda nanoscan,( Disculpenme porque no se poner los enlaces a dichas herramientas, por eso vas a tener que hacer un poco de esfuerzo en buscarlas). Saludos.
Ademas de escanear con Elitrip y ElistarA en modo a prueba de fallos y luego pegar el log en este post que eso por supuesto te lo diran los administradores de este foro, lo que podrias hacer mientras, es escanear con Adware S.E. y Spybot-Search and Destroy en modo a prueba de fallos para ver que bicho te encuentran. Y tambien escanear con los antivirus online en modo a prueba de fallos con opcion de red y con la restauracion de sistema desactivado para tener una segunda opinion.
Estos antivirus online estan en la pagina de inicio de Zonavirus, y hay para elegir, pero el que mas se recomienda en este foro es: Computer Associates y Panda nanoscan,( Disculpenme porque no se poner los enlaces a dichas herramientas, por eso vas a tener que hacer un poco de esfuerzo en buscarlas). Saludos.
Reglas para estar aunque sea un 40% mas seguro en internet: "navegar con usuario limitado, tener 1 antispyware, 1 cortafuegos (por hardware), 1 antivirus,1 IDS y 1 HIPS en la pc actualizados, realizar un escaneo semanalmente con 7 antivirus online, usar site advisor, informarse diariamente de los temas de seguridad informatica, deshabilitar algunos servicios innecesarios de windows xp, analizar los archivos con virus total antes de abrirlos, utilizar algunas herramientas antimalware y antirootkit gratuitas para escaneo semanalmente, tener un poco de paranoia al navegar por internet (no confiar casi en nadie), utilizar un navegador que no tenga muchos agujeros de seguridad, hacer una copia de seguridad de los datos regularmente, tener actualizados todos los softwares en la pc ademas del S.O., no dar datos privados al navegar, utilizar una fuerte y compleja contraseña para todos los usuarios en la pc, cambiar las contraseñas cada poco tiempo, utilizar elipen, etc., etc." .
Hola de nuevo, solo queria aclarar que al parecer al estar yo escribiendo, al mismo tiempo Nuker tambien escribio solo que posteo antes que yo, hubo un desfasaje, espero no haber interrumpido. Saludos.
Reglas para estar aunque sea un 40% mas seguro en internet: "navegar con usuario limitado, tener 1 antispyware, 1 cortafuegos (por hardware), 1 antivirus,1 IDS y 1 HIPS en la pc actualizados, realizar un escaneo semanalmente con 7 antivirus online, usar site advisor, informarse diariamente de los temas de seguridad informatica, deshabilitar algunos servicios innecesarios de windows xp, analizar los archivos con virus total antes de abrirlos, utilizar algunas herramientas antimalware y antirootkit gratuitas para escaneo semanalmente, tener un poco de paranoia al navegar por internet (no confiar casi en nadie), utilizar un navegador que no tenga muchos agujeros de seguridad, hacer una copia de seguridad de los datos regularmente, tener actualizados todos los softwares en la pc ademas del S.O., no dar datos privados al navegar, utilizar una fuerte y compleja contraseña para todos los usuarios en la pc, cambiar las contraseñas cada poco tiempo, utilizar elipen, etc., etc." .
Este es el archivo InfoSat.txt
No me he atrevido a darle a eliminar automáticamente los archivos infectados, vosotros me decís...
Sat Apr 14 11:15:30 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\LJJJKKJ]
Por favor, envienos una muestra del fichero
C:\WinLogon\LJJJKKJ.DLL
a "virus@satinfo.es ". Gracias.
Por favor, envienos una muestra del fichero
C:\Muestras\LJJJKKJ.DLL.Muestra EliStartPage v13.74
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\LJJJKKJ.DLL --> Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\VTSTU.DLL.Muestra EliStartPage v13.74
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\VTSTU.DLL --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\UTSTV.ini --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Entrada Eliminada [HKLM\...\Run] "SoundService"="rundll32.exe "C:\WINDOWS\system32\eghtmsxm.dll",setvm"
Eliminada Class, "{51A71F45-B32E-4E44-94EC-4E5EDCEA4C41}" -> C:\WINDOWS\system32\vtstu.dll
Eliminada Carpeta "%WinSys%\LogFiles"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Apr 14 11:17:36 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Infectado, Hotbar
C:\Programas\UNI\Borland Delphi 7\Install\program files\Borland\Delphi7\Bin\EXPTDEMO.DLL --> Infectado, Affilred (BHO)
C:\WINDOWS\system32\EGHTMSXM.DLL --> Infectado, Vundo5
Instalada Utilidad "ELINOTIF.DLL"
Sat Apr 14 11:25:15 2007
EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Sat Apr 14 11:25:25 2007
EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sat Apr 14 11:26:35 2007
EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\RECYCLER\S-1-5-21-1644491937-651377827-725345543-1003\Dd10\AUTORUN.INF --> Infectado, BackDoor.CMQ (inf)
Sat Apr 14 11:27:51 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\LJJJKKJ]
Por favor, envienos una muestra del fichero
C:\WinLogon\LJJJKKJ.DLL
a "virus@satinfo.es ". Gracias.
Por favor, envienos una muestra del fichero
C:\Muestras\LJJJKKJ.DLL.Muestra EliStartPage v13.74
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\LJJJKKJ.DLL --> Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\VTSTU.DLL.Muestra EliStartPage v13.74
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\VTSTU.DLL --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\UTSTV.ini --> Eliminado (Fichero Complementario).
Eliminada Class, "{51A71F45-B32E-4E44-94EC-4E5EDCEA4C41}" -> C:\WINDOWS\system32\vtstu.dll
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Apr 14 11:28:02 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Instalada Utilidad "ELINOTIF.DLL"
EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado DownLoader.ConHook
C:\WINDOWS\SYSTEM32\ljjjkkj.dll -> Eliminado.
Detectado Vundo
Elininada KEY "Winlogon\Notify\vtstu"
Elininado BHO: "{51A71F45-B32E-4E44-94EC-4E5EDCEA4C41}"
Elininada Class: "{51A71F45-B32E-4E44-94EC-4E5EDCEA4C41}"
EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado DownLoader.ConHook
Elininada KEY "Winlogon\Notify\ljjjkkj"
Desinstalado EliNotif.dll
y este el hijackthis.log
Logfile of HijackThis v1.99.1
Scan saved at 11:33:24, on 14/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\VMware\VMware Player\vmware-authd.exe
C:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\alg.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Archivos de programa\Spyware Doctor\swdoctor.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Irene\Escritorio\Pa virus\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {5D1E3438-27D5-40B1-97D6-4F3B6001B3E4} - C:\WINDOWS\system32\ljjjkkj.dll (file missing)
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\hopbxnxc.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{55FCB2EE-8487-42F0-8F44-04AEFFFFBBBB}: NameServer = 80.58.0.33,195.235.113.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: {FCE7420C-99E0-411E-82DB-336B799BD727} - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
Ahora le pasaré los antivirus online en modo a prueba de fallos a ver....
No me he atrevido a darle a eliminar automáticamente los archivos infectados, vosotros me decís...
Sat Apr 14 11:15:30 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\LJJJKKJ]
Por favor, envienos una muestra del fichero
C:\WinLogon\LJJJKKJ.DLL
a "
Por favor, envienos una muestra del fichero
C:\Muestras\LJJJKKJ.DLL.Muestra EliStartPage v13.74
a "
C:\WINDOWS\SYSTEM32\LJJJKKJ.DLL --> Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\VTSTU.DLL.Muestra EliStartPage v13.74
a "
C:\WINDOWS\SYSTEM32\VTSTU.DLL --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\UTSTV.ini --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Entrada Eliminada [HKLM\...\Run] "SoundService"="rundll32.exe "C:\WINDOWS\system32\eghtmsxm.dll",setvm"
Eliminada Class, "{51A71F45-B32E-4E44-94EC-4E5EDCEA4C41}" -> C:\WINDOWS\system32\vtstu.dll
Eliminada Carpeta "%WinSys%\LogFiles"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Apr 14 11:17:36 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Infectado, Hotbar
C:\Programas\UNI\Borland Delphi 7\Install\program files\Borland\Delphi7\Bin\EXPTDEMO.DLL --> Infectado, Affilred (BHO)
C:\WINDOWS\system32\EGHTMSXM.DLL --> Infectado, Vundo5
Instalada Utilidad "ELINOTIF.DLL"
Sat Apr 14 11:25:15 2007
EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Sat Apr 14 11:25:25 2007
EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sat Apr 14 11:26:35 2007
EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\RECYCLER\S-1-5-21-1644491937-651377827-725345543-1003\Dd10\AUTORUN.INF --> Infectado, BackDoor.CMQ (inf)
Sat Apr 14 11:27:51 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\LJJJKKJ]
Por favor, envienos una muestra del fichero
C:\WinLogon\LJJJKKJ.DLL
a "
Por favor, envienos una muestra del fichero
C:\Muestras\LJJJKKJ.DLL.Muestra EliStartPage v13.74
a "
C:\WINDOWS\SYSTEM32\LJJJKKJ.DLL --> Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\VTSTU.DLL.Muestra EliStartPage v13.74
a "
C:\WINDOWS\SYSTEM32\VTSTU.DLL --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\UTSTV.ini --> Eliminado (Fichero Complementario).
Eliminada Class, "{51A71F45-B32E-4E44-94EC-4E5EDCEA4C41}" -> C:\WINDOWS\system32\vtstu.dll
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Apr 14 11:28:02 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Instalada Utilidad "ELINOTIF.DLL"
EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado DownLoader.ConHook
C:\WINDOWS\SYSTEM32\ljjjkkj.dll -> Eliminado.
Detectado Vundo
Elininada KEY "Winlogon\Notify\vtstu"
Elininado BHO: "{51A71F45-B32E-4E44-94EC-4E5EDCEA4C41}"
Elininada Class: "{51A71F45-B32E-4E44-94EC-4E5EDCEA4C41}"
EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado DownLoader.ConHook
Elininada KEY "Winlogon\Notify\ljjjkkj"
Desinstalado EliNotif.dll
y este el hijackthis.log
Logfile of HijackThis v1.99.1
Scan saved at 11:33:24, on 14/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\VMware\VMware Player\vmware-authd.exe
C:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\alg.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Archivos de programa\Spyware Doctor\swdoctor.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Irene\Escritorio\Pa virus\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {5D1E3438-27D5-40B1-97D6-4F3B6001B3E4} - C:\WINDOWS\system32\ljjjkkj.dll (file missing)
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\hopbxnxc.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{55FCB2EE-8487-42F0-8F44-04AEFFFFBBBB}: NameServer = 80.58.0.33,195.235.113.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: {FCE7420C-99E0-411E-82DB-336B799BD727} - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
Ahora le pasaré los antivirus online en modo a prueba de fallos a ver....
He pasado el Spybot-Search and Destroy y no me ha encontrado nada, y del Adware SE este es el resultado
Ad-Aware SE Build 1.06r1
Logfile Created on:sábado, 14 de abril de 2007 12:31:52
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R165 10.04.2007
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):15 total references
Tracking Cookie(TAC index:3):1 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file
Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects
14-04-2007 12:31:52 - Scan started. (Full System Scan)
MRU List Object Recognized!
Location: : S-1-5-21-1644491937-651377827-725345543-1003\software\ahead\nero - burning rom\recent file list
Description : list of recently used files in nero burning rom
MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d
MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X
MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw
MRU List Object Recognized!
Location: : S-1-5-21-1644491937-651377827-725345543-1003\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer
MRU List Object Recognized!
Location: : S-1-5-21-1644491937-651377827-725345543-1003\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer
MRU List Object Recognized!
Location: : S-1-5-21-1644491937-651377827-725345543-1003\software\microsoft\mediaplayer\player\recentfilelist
Description : list of recently used files in microsoft windows media player
MRU List Object Recognized!
Location: : S-1-5-21-1644491937-651377827-725345543-1003\software\microsoft\mediaplayer\player\settings
Description : last open directory used in jasc paint shop pro
MRU List Object Recognized!
Location: : S-1-5-21-1644491937-651377827-725345543-1003\software\microsoft\search assistant\acmru
Description : list of recent search terms used with the search assistant
MRU List Object Recognized!
Location: : S-1-5-21-1644491937-651377827-725345543-1003\software\microsoft\windows\currentversion\applets\paint\recent file list
Description : list of files recently opened using microsoft paint
MRU List Object Recognized!
Location: : S-1-5-21-1644491937-651377827-725345543-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened
MRU List Object Recognized!
Location: : S-1-5-21-1644491937-651377827-725345543-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension
MRU List Object Recognized!
Location: : S-1-5-21-1644491937-651377827-725345543-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened
MRU List Object Recognized!
Location: : S-1-5-21-1644491937-651377827-725345543-1003\software\microsoft\windows\currentversion\explorer\runmru
Description : mru list for items opened in start | run
MRU List Object Recognized!
Location: : S-1-5-21-1644491937-651377827-725345543-1003\software\microsoft\windows media\wmsdk\general
Description : windows media sdk
Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 696
ThreadCreationTime : 14-04-2007 10:27:59
BasePriority : Normal
#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 748
ThreadCreationTime : 14-04-2007 10:28:03
BasePriority : Normal
#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 772
ThreadCreationTime : 14-04-2007 10:28:03
BasePriority : High
#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 816
ThreadCreationTime : 14-04-2007 10:28:05
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Sistema operativo Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Aplicación de servicios y controlador
InternalName : services.exe
LegalCopyright : Copyright (C) Microsoft Corporation. Reservados todos los derechos.
OriginalFilename : services.exe
#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 828
ThreadCreationTime : 14-04-2007 10:28:05
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe
#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 992
ThreadCreationTime : 14-04-2007 10:28:06
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1040
ThreadCreationTime : 14-04-2007 10:28:06
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:8 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1476
ThreadCreationTime : 14-04-2007 10:28:07
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:9 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1560
ThreadCreationTime : 14-04-2007 10:28:07
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:10 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1608
ThreadCreationTime : 14-04-2007 10:28:07
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:11 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1436
ThreadCreationTime : 14-04-2007 10:28:29
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Sistema operativo Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Explorador de Windows
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Reservados todos los derechos.
OriginalFilename : EXPLORER.EXE
#:12 [ad-aware.exe]
FilePath : C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\
ProcessID : 656
ThreadCreationTime : 14-04-2007 10:31:13
BasePriority : Normal
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved
Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 15
Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 15
Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 15
Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Tracking Cookie Object Recognized!
Type : IECache Entry
Data : irene@atdmt[2].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:2
Value : Cookie:
Expires : 12-04-2012 2:00:00
LastSync : Hits:2
UseCount : 0
Hits : 2
Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 1
Objects found so far: 16
Deep scanning and examining files (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 16
Deep scanning and examining files (D:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Disk Scan Result for D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 16
Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 16
Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 16
12:37:15 Scan Complete
Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:05:22.203
Objects scanned:190705
Objects identified:1
Objects ignored:0
New critical objects:1
El pandaonline no me ha detectado nada, y el karpersky esto:
aturday, April 14, 2007 4:17:09 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.93.0
Kaspersky Anti-Virus database last update: 14/04/2007
Kaspersky Anti-Virus database records: 297313
Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
A:\
C:\
D:\
F:\
G:\
Scan Statistics
Total number of scanned objects 89127
Number of viruses found 6
Number of infected objects 18
Number of suspicious objects 0
Duration of the scan process 01:45:37
Infected Object Name Virus Name Last Action
C:\Documents and Settings\Irene\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Irene\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Irene\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Irene\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Irene\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Irene\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Irene\NTUSER.DAT.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Muestras\VTSTU.DLL.Muestra EliStartPage v13.74 Infected: not-a-virus:AdWare.Win32.Virtumonde.ic skipped
C:\Programas\FastMind_Setup.exe/WISE0015.BIN Infected: not-a-virus:AdTool.Win32.WhenU.a skipped
C:\Programas\FastMind_Setup.exe WiseSFX: infected - 1 skipped
C:\Programas\FastMind_Setup.zip/FastMind_Setup.exe/WISE0015.BIN Infected: not-a-virus:AdTool.Win32.WhenU.a skipped
C:\Programas\FastMind_Setup.zip/FastMind_Setup.exe Infected: not-a-virus:AdTool.Win32.WhenU.a skipped
C:\Programas\FastMind_Setup.zip ZIP: infected - 2 skipped
C:\RECYCLER\S-1-5-21-1644491937-651377827-725345543-1003\Dc17.rar/keygen.exe Infected: not-a-virus:AdWare.Win32.Virtumonde.if skipped
C:\RECYCLER\S-1-5-21-1644491937-651377827-725345543-1003\Dc17.rar RAR: infected - 1 skipped
C:\RECYCLER\S-1-5-21-1644491937-651377827-725345543-1003\Dc28.74 Infected: not-a-virus:AdWare.Win32.Virtumonde.ic skipped
C:\RECYCLER\S-1-5-21-1644491937-651377827-725345543-1003\Dc29.rar/VTSTU.DLL.Muestra EliStartPage v13.74 Infected: not-a-virus:AdWare.Win32.Virtumonde.ic skipped
C:\RECYCLER\S-1-5-21-1644491937-651377827-725345543-1003\Dc29.rar RAR: infected - 1 skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\CSC\00000001 Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\eghtmsxm.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.ar skipped
C:\WINDOWS\system32\votdcgec.dll Infected: Trojan.Win32.BHO.g skipped
C:\WINDOWS\system32\vtstu.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.ic skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
D:\CopiaSeguridad\20070325_132404_CopiaMarzo.nba/C/DOCUME~1/Irene/CONFIG~1/Temp/NERODE~1/Toolbar.exe Infected: not-a-virus:AdTool.Win32.MyWebSearch skipped
D:\CopiaSeguridad\20070325_132404_CopiaMarzo.nba ZIP: infected - 1 skipped
D:\CopiaSeguridad\20070325_140041_CopiaMarzo.nba/C/DOCUME~1/Irene/CONFIG~1/Temp/NERODE~1/Toolbar.exe Infected: not-a-virus:AdTool.Win32.MyWebSearch skipped
D:\CopiaSeguridad\20070325_140041_CopiaMarzo.nba ZIP: infected - 1 skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
Scan process completed.
Si necesitais que haga cualquier otra cosa para tener más información...
Os vuelvo a dar las gracias
[quote]No me he atrevido a darle a eliminar automáticamente los archivos infectados, vosotros me decís...[/quote]
Activelo y vuelva a pasar Elistara, en Modo Seguro.
Nos vuelve a pegar el log.
Elimine estas entradas en Modo Seguro del Hijackthis:
O2 - BHO: (no name) - {5D1E3438-27D5-40B1-97D6-4F3B6001B3E4} - C:\WINDOWS\system32\ljjjkkj.dll (file missing)
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\hopbxnxc.dll
Desinstale el spydoctor para mejorar su velocidad. una vez hecho todo esto nos pega el log de Elistara y nos comenta resultados, saludos.
[u]Atendido a las 10:39 p.m. (Hora México) 14/04/07
[DJ eXploit]
Sat Apr 14 11:15:30 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\LJJJKKJ]
Por favor, envienos una muestra del fichero
C:\WinLogon\LJJJKKJ.DLL
a "virus@satinfo.es ". Gracias.
Por favor, envienos una muestra del fichero
C:\Muestras\LJJJKKJ.DLL.Muestra EliStartPage v13.74
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\LJJJKKJ.DLL --> Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\VTSTU.DLL.Muestra EliStartPage v13.74
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\VTSTU.DLL --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\UTSTV.ini --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Entrada Eliminada [HKLM\...\Run] "SoundService"="rundll32.exe "C:\WINDOWS\system32\eghtmsxm.dll",setvm"
Eliminada Class, "{51A71F45-B32E-4E44-94EC-4E5EDCEA4C41}" -> C:\WINDOWS\system32\vtstu.dll
Eliminada Carpeta "%WinSys%\LogFiles"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Apr 14 11:17:36 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Infectado, Hotbar
C:\Programas\UNI\Borland Delphi 7\Install\program files\Borland\Delphi7\Bin\EXPTDEMO.DLL --> Infectado, Affilred (BHO)
C:\WINDOWS\system32\EGHTMSXM.DLL --> Infectado, Vundo5
Instalada Utilidad "ELINOTIF.DLL"
Sat Apr 14 11:25:15 2007
EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Sat Apr 14 11:25:25 2007
EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sat Apr 14 11:26:35 2007
EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\RECYCLER\S-1-5-21-1644491937-651377827-725345543-1003\Dd10\AUTORUN.INF --> Infectado, BackDoor.CMQ (inf)
Sat Apr 14 11:27:51 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\LJJJKKJ]
Por favor, envienos una muestra del fichero
C:\WinLogon\LJJJKKJ.DLL
a "virus@satinfo.es ". Gracias.
Por favor, envienos una muestra del fichero
C:\Muestras\LJJJKKJ.DLL.Muestra EliStartPage v13.74
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\LJJJKKJ.DLL --> Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\VTSTU.DLL.Muestra EliStartPage v13.74
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\VTSTU.DLL --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\UTSTV.ini --> Eliminado (Fichero Complementario).
Eliminada Class, "{51A71F45-B32E-4E44-94EC-4E5EDCEA4C41}" -> C:\WINDOWS\system32\vtstu.dll
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Apr 14 11:28:02 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Instalada Utilidad "ELINOTIF.DLL"
EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado DownLoader.ConHook
C:\WINDOWS\SYSTEM32\ljjjkkj.dll -> Eliminado.
Detectado Vundo
Elininada KEY "Winlogon\Notify\vtstu"
Elininado BHO: "{51A71F45-B32E-4E44-94EC-4E5EDCEA4C41}"
Elininada Class: "{51A71F45-B32E-4E44-94EC-4E5EDCEA4C41}"
EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado DownLoader.ConHook
Elininada KEY "Winlogon\Notify\ljjjkkj"
Desinstalado EliNotif.dll
Sat Apr 14 17:46:30 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Apr 14 17:46:47 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar
C:\Programas\UNI\Borland Delphi 7\Install\program files\Borland\Delphi7\Bin\EXPTDEMO.DLL --> Eliminado, Affilred (BHO)
C:\WINDOWS\system32\EGHTMSXM.DLL --> Eliminado, Vundo5
Sat Apr 14 17:49:57 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
[color=darkblue]
Despues de hacer esto llevo 5 min navegando y no me ha salido ninguna ventana emergente, a si que... vamos bien, si aparecen de aquí a un rato os lo digo.
Y para lo que me pone al arrancar de que ha recuperado una copia de un archivo que contiene datos del registro... ¿tenéis alguna solucion? ya se que este foro es de virus, pero ya que estoy.
Saludos[/color] :D
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\LJJJKKJ]
Por favor, envienos una muestra del fichero
C:\WinLogon\LJJJKKJ.DLL
a "
Por favor, envienos una muestra del fichero
C:\Muestras\LJJJKKJ.DLL.Muestra EliStartPage v13.74
a "
C:\WINDOWS\SYSTEM32\LJJJKKJ.DLL --> Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\VTSTU.DLL.Muestra EliStartPage v13.74
a "
C:\WINDOWS\SYSTEM32\VTSTU.DLL --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\UTSTV.ini --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Entrada Eliminada [HKLM\...\Run] "SoundService"="rundll32.exe "C:\WINDOWS\system32\eghtmsxm.dll",setvm"
Eliminada Class, "{51A71F45-B32E-4E44-94EC-4E5EDCEA4C41}" -> C:\WINDOWS\system32\vtstu.dll
Eliminada Carpeta "%WinSys%\LogFiles"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Apr 14 11:17:36 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Infectado, Hotbar
C:\Programas\UNI\Borland Delphi 7\Install\program files\Borland\Delphi7\Bin\EXPTDEMO.DLL --> Infectado, Affilred (BHO)
C:\WINDOWS\system32\EGHTMSXM.DLL --> Infectado, Vundo5
Instalada Utilidad "ELINOTIF.DLL"
Sat Apr 14 11:25:15 2007
EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Sat Apr 14 11:25:25 2007
EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sat Apr 14 11:26:35 2007
EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\RECYCLER\S-1-5-21-1644491937-651377827-725345543-1003\Dd10\AUTORUN.INF --> Infectado, BackDoor.CMQ (inf)
Sat Apr 14 11:27:51 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\LJJJKKJ]
Por favor, envienos una muestra del fichero
C:\WinLogon\LJJJKKJ.DLL
a "
Por favor, envienos una muestra del fichero
C:\Muestras\LJJJKKJ.DLL.Muestra EliStartPage v13.74
a "
C:\WINDOWS\SYSTEM32\LJJJKKJ.DLL --> Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\VTSTU.DLL.Muestra EliStartPage v13.74
a "
C:\WINDOWS\SYSTEM32\VTSTU.DLL --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\UTSTV.ini --> Eliminado (Fichero Complementario).
Eliminada Class, "{51A71F45-B32E-4E44-94EC-4E5EDCEA4C41}" -> C:\WINDOWS\system32\vtstu.dll
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Apr 14 11:28:02 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Instalada Utilidad "ELINOTIF.DLL"
EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado DownLoader.ConHook
C:\WINDOWS\SYSTEM32\ljjjkkj.dll -> Eliminado.
Detectado Vundo
Elininada KEY "Winlogon\Notify\vtstu"
Elininado BHO: "{51A71F45-B32E-4E44-94EC-4E5EDCEA4C41}"
Elininada Class: "{51A71F45-B32E-4E44-94EC-4E5EDCEA4C41}"
EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado DownLoader.ConHook
Elininada KEY "Winlogon\Notify\ljjjkkj"
Desinstalado EliNotif.dll
Sat Apr 14 17:46:30 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Apr 14 17:46:47 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar
C:\Programas\UNI\Borland Delphi 7\Install\program files\Borland\Delphi7\Bin\EXPTDEMO.DLL --> Eliminado, Affilred (BHO)
C:\WINDOWS\system32\EGHTMSXM.DLL --> Eliminado, Vundo5
Sat Apr 14 17:49:57 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Despues de hacer esto llevo 5 min navegando y no me ha salido ninguna ventana emergente, a si que... vamos bien, si aparecen de aquí a un rato os lo digo.
Y para lo que me pone al arrancar de que ha recuperado una copia de un archivo que contiene datos del registro... ¿tenéis alguna solucion? ya se que este foro es de virus, pero ya que estoy.
Saludos