envio analisis elitrip abdel gonzalez

[abdel gonzalez]

Sun Apr 22 14:17:17 2007

EliTriIP v3.49 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SETUP.EXE.Muestra EliTriIP v3.49

a "virus@satinfo.es". Gracias.

C:\SETUP.EXE --> Eliminado

C:\AUTORUN.INF --> Eliminado

C:\WINDOWS\SVCHOST.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\TEMP1.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\TEMP2.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Bron-Spizaetus"=""

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun Apr 22 14:17:45 2007

EliTriIP v3.49 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\host.exe --> Eliminado, Perlovga(dr)



Sun Apr 22 14:20:56 2007

EliTriIP v3.49 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Bron-Spizaetus"=""

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun Apr 22 14:21:13 2007

EliTriIP v3.49 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Apr 22 14:25:37 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Por favor, envienos una muestra del fichero

"D:\Autorun.inf" a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

"F:\Autorun.inf" a "virus@satinfo.es". Gracias.



Sun Apr 22 14:26:12 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\NewTech Infosystems\NTI Backup NOW! 4\PART32.DLL --> Eliminado, WinAntiVirus Pro 2006 (cpl)

C:\Archivos de programa\Network Associates\VirusScan\MCUPDATE.EXE --> Eliminado, Puper-Is (BHO)



Sun Apr 22 16:34:34 2007

EliTriIP v3.49 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Bron-Spizaetus"=""

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun Apr 22 16:35:12 2007

EliTriIP v3.49 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Apr 22 16:39:04 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun Apr 22 16:39:47 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Apr 22 18:29:09 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun Apr 22 18:29:34 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Apr 25 13:49:16 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Wed Apr 25 13:49:36 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Apr 27 16:45:44 2007

EliTriIP v3.49 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Fri Apr 27 16:46:39 2007

EliTriIP v3.49 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed May 02 15:46:50 2007

EliStartPage v13.87 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Wed May 02 15:47:17 2007

EliStartPage v13.87 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed May 02 15:51:26 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Wed May 02 15:51:37 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[Claudia34]

Pues en primer lugar se ve que te faltan varios parches, te convendria realizar un windows update para estar mas protegido ante los bichos, mientras espera a ver que te dicen sobre el resto del log que pegaste. Saludos.

[msc hotline sat]

Y ademas envianos este fichero para analizar:



Por favor, envienos una muestra del fichero

C:\Muestras\SETUP.EXE.Muestra EliTriIP v3.49





[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 3 de Mayo de 2007

[abdel gonzalez]

Logfile of HijackThis v1.99.1

Scan saved at 17:44:26, on 27/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\DOCUME~1\MARIAJ~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\sembako-cgzjlpg.exe"

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LaunchAp] "C:\Archivos de programa\Launch Manager\LaunchAp.exe"

O4 - HKLM\..\Run: [PowerKey] "C:\Archivos de programa\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [LManager] "C:\Archivos de programa\Launch Manager\HotkeyApp.exe"

O4 - HKLM\..\Run: [CtrlVol] "C:\Archivos de programa\Launch Manager\CtrlVol.exe"

O4 - HKLM\..\Run: [LMgrOSD] "C:\Archivos de programa\Launch Manager\OSDCtrl.exe"

O4 - HKLM\..\Run: [Wbutton] "C:\Archivos de programa\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [eRecoveryService] C:\Archivos de programa\Acer\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"

O4 - HKLM\..\Run: [EPSON Stylus C45 Series (Copiar 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE /P34 "EPSON Stylus C45 Series (Copiar 1)" /O5 "LPT1:" /M "Stylus C45"

O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Tok-Cirrhatus-3807] "C:\Documents and Settings\Maria Jimenez\Configuración local\Datos de programa\br8637on.exe"

O4 - HKCU\..\Run: [MsServer] msfun80.exe

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe



---------------------------------------------------------

ewido security suite - Report de arranque

---------------------------------------------------------



+ Creado en: 17:47:57, 27/04/2007

+ Report-Checksum: E104F037



Reg\HKLM\Run preload C:\Windows\RUNXMLPL.exe

Shell\CommonStartup Acelerador de inicio de AutoCAD.lnk C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Acelerador de inicio de AutoCAD.lnk

File\SystemIni embako-cgzjlpg.exe" Explorer.exe "C:\WINDOWS\sembako-cgzjlpg.exe"

Reg\HKLM\Run HotKeysCmds C:\WINDOWS\system32\hkcmd.exe

Reg\HKLM\Run IgfxTray C:\WINDOWS\system32\igfxtray.exe

Reg\HKLM\Run SoundMan SOUNDMAN.EXE

Reg\HKLM\Run SynTPLpr C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

Reg\HKLM\Run SynTPEnh C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

Reg\HKLM\Run EPM-DM c:\acer\epm\epm-dm.exe

Reg\HKLM\Run ePowerManagement C:\Acer\ePM\ePM.exe boot

Reg\HKLM\Run IMJPMIG8.1 "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

Reg\HKLM\Run MSPY2002 C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

Reg\HKLM\Run PHIME2002ASync C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

Reg\HKLM\Run PHIME2002A C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

Reg\HKLM\Run RemoteControl "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

Reg\HKLM\Run LaunchAp "C:\Archivos de programa\Launch Manager\LaunchAp.exe"

Reg\HKLM\Run PowerKey "C:\Archivos de programa\Launch Manager\PowerKey.exe"

Reg\HKLM\Run LManager "C:\Archivos de programa\Launch Manager\HotkeyApp.exe"

Reg\HKLM\Run CtrlVol "C:\Archivos de programa\Launch Manager\CtrlVol.exe"

Reg\HKLM\Run LMgrOSD "C:\Archivos de programa\Launch Manager\OSDCtrl.exe"

Reg\HKLM\Run Wbutton "C:\Archivos de programa\Launch Manager\Wbutton.exe"

Reg\HKLM\Run eRecoveryService C:\Archivos de programa\Acer\eRecovery\Monitor.exe

Reg\HKLM\Run Ink Monitor C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

Reg\HKLM\Run EPSON Stylus C45 Series C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"

Reg\HKLM\Run EPSON Stylus C45 Series (Copiar 1) C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE /P34 "EPSON Stylus C45 Series (Copiar 1)" /O5 "LPT1:" /M "Stylus C45"

Reg\HKLM\Run IMJPMIG8.2 msime82.exe

Reg\HKLM\Run nod32kui "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

Reg\HKCU\Run CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe

Reg\HKCU\Run MSMSGS "C:\Archivos de programa\Messenger\msmsgs.exe" /background

Reg\HKCU\Run Tok-Cirrhatus-3807 "C:\Documents and Settings\Maria Jimenez\Configuración local\Datos de programa\br8637on.exe"

Reg\HKCU\Run Tok-Cirrhatus "C:\Documents and Settings\Maria Jimenez\Configuración local\Datos de programa\br8637on.exe"

Reg\HKCU\Run MsServer msfun80.exe

[msc hotline sat]

Envienos muestras para analizar de:



C:\WINDOWS\sembako-cgzjlpg.exe



C:\Documents and Settings\Maria Jimenez\Configuración local\Datos de programa\br8637on.exe"



msfun80.exe



(posiblemente este ultimo esté en la carpeta de sistema, c:\windows\system32)





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Tras analizarlos, informaremos



saludos



ms, 22-05-2007

[msc hotline sat]

Utilizando el buscador del foro para encontrar Temas con msime82.exe y msfun80.exe, viendo que este no estaba finalizado, para el historico informo que con el ELISTARA actual (desde el 14.00) se controla y elimina este virus:



---v14.00-(18 de Mayo del 2007) (Muestras de (2)Vundo6(notify), DownLoader.ConHook "*****.DLL", BackDoor-CVT "WIN***32.DLL", (8)Swizzor(lop), NaviPromo(dropper), SpyRealtek "ALCXMNTR.EXE", Back/Afcore.F "MSXMNID.DLL" y DownLoader "LOADER.EXE")





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





con lo que se da por solucionado este Tema y se procede a cerrarlo



saludos



ms, 4-06-2007