[Help]Problemas de trojan y spywares

[JtFA]

hola, soy nuevo por aca, la verdad es que casi siempre logro solucionar los problemas de mi pc solo, pero esta vez necesito un poco de ayuda mas profecional.



ya hace varios dias, descargue por error un "programa" para ipod, que resulto ser un fake y automaticamente se descargaron como 2 trojans y 1 spyware, luego de luchar con estos logre eliminar el spyware pero aun te problemas.



Aveces cuando entro a cualquier website, aparecen banners que llevan a las direcciones:
[code]
http://65.243.103.56/trafc-2/rfe.php?cmp=wav_misspell&nid=ik&uid=39fb5dcaf43f11db959c003048895bfc&guid=4418bbb1+6c148249cd7a403eb110189375cb7850&affid=67308&lid=ware+ar[/code]
[code]http://89.188.16.10/trafc-2/rfe.php?cmp=wav23_1&nid=ik&uid=39fb5dcaf43f11db959c003048895bfc&guid=4418bbb1+6c148249cd7a403eb110189375cb7850&affid=67308&lid=virus&url=http:%2F%2Fforos.zonavirus.com%2Fposting.php%3Fmode=newtopic%26f=6[/code]
y otro grupo variantes, pero con el mismo ip. luego de pasarle ad-aware, la pagina termina en un error (no se puede mostrar la pagina). pero aun asi, aveces al darle click a un link, la pagina se abre sola. esa web terminaba en la pagina de win antivirus pro.



el otro problema, que es menos frecuente, salia otra pagina de un supuesto antispyware que eliminaba registros de webs pornograficas, al cerrar esta ventana, automaticamente se abrian web con ese contenido o me envia a una web de videos.



esos son los principales problemas que tengo desde hace 2 semanas.



gracias de antemano, espero su respuesta



pd: ya analice la pc con elistara y el problema aun persiste.

[msc hotline sat]

Ya que has probado el ELISTARA, posteanos el contenido de C:\infosat.txt, gracias



Segun lo que veamos, te pediremos log del HJT, pero primero posteanos lo arriba indicado



saludos



ms, 6-05-2007

[JtFA]

aqui esta el contenido del infosat:
[code]
Sun May 06 01:35:24 2007
EliStartPage v13.89 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\AWVVV]
Por favor, envienos una muestra del fichero
C:\WinLogon\AWVVV.DLL
a "virus@satinfo.es". Gracias.
Por favor, envienos una muestra del fichero
C:\Muestras\XXYXVUU.DLL.Muestra EliStartPage v13.89
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\XXYXVUU.DLL --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\UVVWA.ini2 --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\UVVWA.tmp --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "WindowsService"="rundll32.exe "C:\WINDOWS\system32\ovsostlx.dll",realset"
Eliminada Class, "{42F28C74-6C89-4111-BB28-52EDB9E15A65}" -> C:\WINDOWS\system32\awvvu.dll
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Por favor, envienos una muestra del fichero
"C:\Muestras\Autorun.inf.(D)" a "virus@satinfo.es". Gracias.

Sun May 06 02:04:08 2007
EliStartPage v13.89 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Sun May 06 02:04:46 2007
EliStartPage v13.89 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Exploración Detenida por el Usuario.
No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sun May 06 02:17:36 2007
EliStartPage v13.89 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\XXYXVUU.DLL.Muestra EliStartPage v13.89
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\XXYXVUU.DLL --> Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\AWVVV.DLL.Muestra EliStartPage v13.89
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\AWVVV.DLL --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\VVVWA.ini --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\VVVWA.ini2 --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\VVVWA.tmp --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "WindowsService"="rundll32.exe "C:\WINDOWS\system32\vqgtdvol.dll",realset"
Eliminada Class, "{8A7D96D3-3ADD-4292-8E4F-4F73456C5AC1}" -> C:\WINDOWS\system32\awvvv.dll
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
[/code]

ahi esta, ahora el problema evolvio un poco mas comun, a cada rato aparece esa web, ahora con estas direcciones:


[code]http://www.amaena.com/securityworm58/index.php?ex=1&ax=1&h=10&mpt=1178437330&aid=nm_ik_wav_kw1&lid=scanner&affid=nm_67308_39fb5dcaf43f11db959c003048895bfc_4418bbb1+6c148249cd7a403eb110189375cb7850
[/code]
[code]http://www.winantiviruspro.com/pages/newcontent/?aid=nm_ik_gsr_wavna_kw&affid=nm_67308__4418bbb1+6C148249CD7A403EB110189375CB7850[/code]
[code]http://www.winantiviruspro.com/pages/newcontent/?aid=nm_ik_wavna_kw&lid=virus+nav&affid=nm_67308_39fb5dcaf43f11db959c003048895bfc_4418bbb1+6c148249cd7a403eb110189375cb7850[/code]
y otra web: broadcaster.com, pero con un enlace mas largo que no logre copiar.



gracias por su ayuda.

[msc hotline sat]

Pues a ver si haces caso a lo que se te dice ...



"Por favor, envienos una muestra del fichero

C:\WinLogon\AWVVV.DLL



Por favor, envienos una muestra del fichero

C:\Muestras\XXYXVUU.DLL.Muestra EliStartPage v13.89



Por favor, envienos una muestra del fichero

"C:\Muestras\Autorun.inf



[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y adelantanos el contenido del AUTORUN.INF que quizas te pediremos que nos envies algun fichero mas para analizar...



saludos



ms, 6-05-2007

[JtFA]

los ficheros los envie al instante, voy a reenviarlos como indica el post del link que dejaste, thx

[msc hotline sat]

Y posteanos el contenido del AUTORUN.INF, pues es tipico de los virus que se transmiten a traves de pendrives, que utilicen dichos ficheros para propagar el virus a las maquinas donde se inserten.



Veremos los fichero que llama y si son sospechosos te pediremos que nos los envies tambien



saludos



ms, 6-05-2007

[msc hotline sat]

Y dos cosas: Has detenido la exploracion sobre la unidad C: porqué ???



Sun May 06 02:04:46 2007

EliStartPage v13.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] Exploración Detenida por el Usuario.

[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



y por lo visto tienes bicho que precisa complementar al ELISTARA con la DLL indicada



pues :





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 6-05-2007



Y tras lanzar el ELISTARA y reiniciar, EXPLORA toda la unidad C: !

[JtFA]

[code] Sun May 06 03:42:27 2007
EliStartPage v13.89 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\AWVVV]
Por favor, envienos una muestra del fichero
C:\WinLogon\AWVVV.DLL
a "virus@satinfo.es". Gracias.
[WinLogon\Notify\XXYXVUU]
Por favor, envienos una muestra del fichero
C:\WinLogon\XXYXVUU.DLL
a "virus@satinfo.es". Gracias.
Por favor, envienos una muestra del fichero
C:\Muestras\XXYXVUU.DLL.Muestra EliStartPage v13.89
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\XXYXVUU.DLL --> Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\AWVVV.DLL.Muestra EliStartPage v13.89
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\AWVVV.DLL --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\VVVWA.ini --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\VVVWA.ini2 --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "WindowsService"="rundll32.exe "C:\WINDOWS\system32\kljrmtdq.dll",realset"
Eliminada Class, "{2E0C2323-E5DF-4BDE-8996-C724BE889386}" -> C:\WINDOWS\system32\awvvv.dll
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Instalada Utilidad "ELINOTIF.DLL"

Sun May 06 03:46:26 2007
EliStartPage v13.89 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\AWVVV]
Por favor, envienos una muestra del fichero
C:\WinLogon\AWVVV.DLL
a "virus@satinfo.es". Gracias.
[WinLogon\Notify\XXYXVUU]
Por favor, envienos una muestra del fichero
C:\WinLogon\XXYXVUU.DLL
a "virus@satinfo.es". Gracias.
Por favor, envienos una muestra del fichero
C:\Muestras\XXYXVUU.DLL.Muestra EliStartPage v13.89
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\XXYXVUU.DLL --> Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\AWVVV.DLL.Muestra EliStartPage v13.89
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\AWVVV.DLL --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\VVVWA.ini --> Eliminado (Fichero Complementario).
Eliminada Class, "{2E0C2323-E5DF-4BDE-8996-C724BE889386}" -> C:\WINDOWS\system32\awvvv.dll
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Sun May 06 03:46:45 2007
EliStartPage v13.89 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Exploración Detenida por el Usuario.
Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.04.24 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado Vundo
Elininada KEY "Winlogon\Notify\awvvv"
Detectado DownLoader.ConHook
C:\WINDOWS\SYSTEM32\xxyxvuu.dll -> Eliminado.
Elininada KEY "Winlogon\Notify\xxyxvuu"
Desinstalado EliNotif.dll

Sun May 06 12:54:02 2007
EliStartPage v13.89 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminados Ficheros Temporales del IE

Sun May 06 12:54:05 2007
EliStartPage v13.89 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Guest\Local Settings\Temp\WGRWHTSV.DLL --> Eliminado, Vundo7
C:\Documents and Settings\JtFA\Local Settings\Application Data\Ares\My Shared Folder\ARES SKINS.EXE --> Eliminado, Vundo4
C:\Program Files\Cheat Engine\EMPTYPROCESS.EXE --> Eliminado, PWS-WoW
C:\Program Files\Microsoft Works\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)
C:\Program Files\Microsoft Works\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)
C:\SWSetup\MSWorks\16\PFiles\MSWorks\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)
C:\SWSetup\MSWorks\16\PFiles\MSWorks\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)
C:\WINDOWS\system32\KLJRMTDQ.DLL --> Eliminado, Vundo7
C:\WINDOWS\system32\VQGTDVOL.DLL --> Eliminado, Vundo7
[/code]

ahi esta el contenido del infosat.



la pagina [code]http://www.winantiviruspro.com/pages/newcontent/?aid=nm_ik_wavna_kw&lid=virus+nav&affid=nm_67308_39fb5dcaf43f11db959c003048895bfc_4418bbb1+6c148249cd7a403eb110189375cb7850[/code] sigue apareciendo, sun contenido pero aun salta :S

[JtFA]

me salto una web nueva:


[code]http://scanner.sysprotect.com/pages/scanner/index.php?aid=nm_ik_spt_kw7_pe_es_ed1&lid=virus&ex=2&p=20&ax=0&h=&affid=nm_67308_39fb5dcaf43f11db959c003048895bfc_4418bbb1%206c148249cd7a403eb110189375cb7850[/code]
[img]http://i87.photobucket.com/albums/k152/JtFA/spyware.jpg[/img]



y esta es la otra web que me sale, cada vez se vuelven mas frecuentes :S[code]http://www.broadcaster.com/video/index.php?show=trated&bcsrtkr=a85d2&utm_campaign=Traffic&utm_source=Adon_for&utm_medium=popunder[/code].



aca les dejo el log del hjt:


[code]Logfile of HijackThis v1.99.1
Scan saved at 01:48:17 p.m., on 06/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msdtc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\hijackthis\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\SCROLL~1\MouseElf.EXE
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Flashget] C:\PROGRA~1\FlashGet\Flashget.exe /min
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\system32\kblubuth.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Pavilion Webcam Tray Icon.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Inicio rápido de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Descargar con Fl&ashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: &Descargar todo con Flas&hGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165720468937
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Servicio de Norton Protection Center (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe[/code][/img]

[lucl]

instalate este programa , actualizalo e inmuniza, a ver si paras un poco los ataques hasta que mañana te hayan analizado lo que enviaste, saludos



http://www.zonavirus.com/descargas/spybot-sd.asp

[msc hotline sat]

Del analisis del log del HJT vemos que tiene residente Norton y NOD32. No debe tener dos antivirus simultaneos ! Desinstale uno de los dos.





Y envienos muestra de este fichero:



C:\WINDOWS\system32\kblubuth.dll



pues esta clave es muy sospechosa:



O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\system32\kblubuth.dll",realset





[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 7-05-2007

[msc hotline sat]

Porque las que pediamos en el infosat.txt ya las ha enviado, verdad ???



Por favor, envienos una muestra del fichero

C:\WinLogon\AWVVV.DLL



Por favor, envienos una muestra del fichero

C:\WinLogon\XXYXVUU.DLL



Por favor, envienos una muestra del fichero

C:\Muestras\XXYXVUU.DLL.Muestra EliStartPage v13.89



Por favor, envienos una muestra del fichero

C:\Muestras\AWVVV.DLL.Muestra EliStartPage v13.89





sino, hagalo como indicamos en el post anterior



saludos



ms, 7-05-2007

[JtFA]

yahe reenviado todo, tal y como me lo pidieron...

de verdad nesecito ayuda..

[msc hotline sat]

Pues con el ELISTARA 13.90 de hoy mas el ELINOTIF se controlaran y eliminaran estos troyanos.



Descargalos a partir de las 20 h de hoy y los pruebas:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 7-5-2007