SPYWARE como lo quito

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
kalushe
Mensajes: 15
Registrado: 24 Mar 2007, 11:15

SPYWARE como lo quito

Mensaje por kalushe » 12 May 2007, 07:44

trate de pasar el hijackthis pero no me deja, manda un error de windows que puedo hacer pase el elistara y estaba lleno de virus les dejos el infosat



aun esta el spyware



Thu May 10 22:11:26 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\A3DXQ] -> C:\WINDOWS\SYSTEM32\A3DXX.DLL

[WinLogon\Notify\RPCC1]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\RPCC1.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

[WinLogon\Notify\WINDII32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINDII32.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\__C00B5BF1] -> C:\WINDOWS\SYSTEM32\__C00B5BF1.DAT

Key Eliminada [WinLogon\Notify\__C00EFF61] -> C:\WINDOWS\SYSTEM32\__C00EFF61.DAT

[SharedTaskScheduler "{D1159422-16E3-462F-A93D-FB718E100407}"]

Por favor, envienos una muestra del fichero

C:\Muestras\D4XOFA.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\SPOOLSVV.EXE.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SPOOLSVV.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\SPOOLSVV.SYS --> Eliminado

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\XPUPDATE.EXE.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\XPUPDATE.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\BRAVESENTRY.EXE.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\BRAVESENTRY\BRAVESENTRY.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\DLH9JKD1Q8.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\DLH9JKD1Q1.EXE --> Eliminado DownLoader-Small (vxh8jkdq)

Por favor, envienos una muestra del fichero

C:\Muestras\DLH9JKD1Q2.EXE.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DLH9JKD1Q2.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\DLH9JKD1Q5.EXE --> Eliminado DownLoader-Small(dlh9jkd1q)

Por favor, envienos una muestra del fichero

C:\Muestras\DLH9JKD1Q6.EXE.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DLH9JKD1Q6.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DLH9JKD1Q7.EXE.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DLH9JKD1Q7.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\KERNELS32.EXE.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KERNELS32.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\OPMNLL.DLL.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\OPMNLL.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\TMP3.TMP.DLL --> Eliminado JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMP11C.TMP.DLL --> Eliminado JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\A3DXX.DLL --> Eliminado Proxy.Xorpix.M

C:\WINDOWS\SYSTEM32\__C00B5BF1.DAT --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\__C00EFF61.DAT --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\KR_DONE1 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\svcp.csv --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\Winsub.xml --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "SPOOLSVV"="C:\WINDOWS\System32\spoolsvv.exe"

Entrada Eliminada [HKLM\...\Run] "System"="C:\WINDOWS\System32\kernels32.exe"

Entrada Eliminada [HKLM\...\Run] "tcpipmon"="tcpipmon.exe"

Entrada Eliminada [HKLM\...\Run] "WindowsService"="rundll32.exe "C:\WINDOWS\opmnll.dll",realset"

Eliminada Class, "{1557B435-8242-4686-9AA3-9265BF7525A4}" -> C:\WINDOWS\System32\tmp3.tmp.dll

Eliminada Class, "{D651AFF4-9590-424D-BD1E-8E33E090DFB3}" -> C:\WINDOWS\System32\tmp11C.tmp.dll

Eliminado Servicio, "Driver"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Por favor, envienos una muestra del fichero

"C:\Muestras\Autorun.inf.(E)" a "virus@satinfo.es". Gracias.



Thu May 10 22:13:13 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\GAKUV.EXE --> Eliminado, DownLoader.Vixup

C:\WINDOWS\URPNLM.DLL --> Eliminado, Trojan.Agent.AGV

C:\WINDOWS\SYSTEM32\TMP13.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMP27.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMP6.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMP8A.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMP47.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMP79.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMP7C.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMPB.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMP4.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMP19.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\__C00EFF61.DAT.VIR --> Acceso Denegado, Morphine(notify)

C:\WINDOWS\SYSTEM32\__C00B5BF1.DAT --> Acceso Denegado, Morphine(notify)

C:\WINDOWS\SYSTEM32\TMP15.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\__C00A921C.DAT --> Eliminado, Morphine(notify)

C:\WINDOWS\SYSTEM32\__C00E6315.DAT --> Eliminado, Morphine(notify)

C:\WINDOWS\SYSTEM32\__C00495A9.DAT --> Eliminado, Morphine(notify)

C:\WINDOWS\SYSTEM32\__C009ED10.DAT --> Eliminado, Morphine(notify)

C:\WINDOWS\SYSTEM32\__C00F4EB8.DAT --> Eliminado, Morphine(notify)

C:\WINDOWS\SYSTEM32\__C00EB79.DAT --> Eliminado, Morphine(notify)

C:\WINDOWS\SYSTEM32\__C0046364.DAT --> Eliminado, Morphine(notify)

C:\WINDOWS\SYSTEM32\TMP23.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMP2E.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMP95.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMP3A.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMPA.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\VEXGA4M1ET4.EXE --> Eliminado, Alanchum

C:\WINDOWS\SYSTEM32\TMP5E.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMPEF.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMP14A.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMP185.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMPFF.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMP105.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMPFB.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\TMP106.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\SYSTEM32\QVX5GAMET2.EXE --> Eliminado, DownLoader-Small (vxh8jkdq)

C:\WINDOWS\SYSTEM32\QVXGA6MET3.EXE --> Eliminado, DownLoader-Small (vxh8jkdq)

C:\Archivos de programa\Asistente Prodigy\FPXXUDUD.EXE --> Eliminado, PWS-WoW

C:\RECYCLED\NPROTECT\00005125.EXE --> Eliminado, Alanchum

C:\RECYCLED\NPROTECT\00001979.EXE --> Eliminado, DownLoader-Small (vxh8jkdq)

C:\RECYCLED\NPROTECT\00002037.EXE --> Eliminado, DownLoader-Small (vxh8jkdq)

C:\RECYCLED\NPROTECT\00002072.EXE --> Eliminado, DownLoader-Small (vxh8jkdq)

C:\RECYCLED\NPROTECT\00002296.EXE --> Eliminado, Alanchum



Thu May 10 22:23:34 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\RPCC1]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\RPCC1.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

[WinLogon\Notify\WINDII32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINDII32.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\__C00B5BF1] -> C:\WINDOWS\SYSTEM32\__C00B5BF1.DAT

[SharedTaskScheduler "{D1159422-16E3-462F-A93D-FB718E100407}"]

Por favor, envienos una muestra del fichero

C:\Muestras\D4XOFA.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\__C00B5BF1.DAT --> Acceso Denegado.

C:\WINDOWS\Escritorio\BraveSentry.lnk --> Eliminado (Fichero Complementario).

C:\Documents and Settings\casa\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "Windows update loader"="C:\Windows\xpupdate.exe"

Eliminada Carpeta "\Program Files\BraveSentry"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE
Arriba
Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:
Contactar lucl

Mensaje por lucl » 12 May 2007, 14:18

Debes mandar estas cosas que te piden



Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

[WinLogon\Notify\WINDII32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINDII32.DLL

a "virus@satinfo.es". Gracias.



Por favor, envienos una muestra del fichero

C:\Muestras\D4XOFA.DLL

a "virus@satinfo.es". Gracias.



Por favor, envienos una muestra del fichero

C:\Muestras\SPOOLSVV.EXE.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.



Por favor, envienos una muestra del fichero

C:\Muestras\XPUPDATE.EXE.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.



Por favor, envienos una muestra del fichero

C:\Muestras\BRAVESENTRY.EXE.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.



Por favor, envienos una muestra del fichero

C:\Muestras\DLH9JKD1Q6.EXE.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.



Por favor, envienos una muestra del fichero

C:\Muestras\DLH9JKD1Q7.EXE.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.





Por favor, envienos una muestra del fichero

C:\Muestras\KERNELS32.EXE.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.



sigue las instrucciones que te damos en este link



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y actualiza tu pc, esta disponible para diversa fauna como ya has visto, pincha aqui debajo y hazlo



https://support.microsoft.com/es-es/help/12373/windows-update-faq



nos cuentas tus avances,saludos
Arriba
kalushe
Mensajes: 15
Registrado: 24 Mar 2007, 11:15

Mensaje por kalushe » 13 May 2007, 06:22

aqui esta el log de hijackthis gracias







Logfile of HijackThis v1.99.1

Scan saved at 04:08:31 p.m., on 11/05/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\v7.exe

C:\WINDOWS\System32\consqiyg.exe

C:\WINDOWS\System32\itsdde.exe

C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\System32\dlmmsers.exe

C:\WINDOWS\System32\secejpsi.exe

C:\WINDOWS\System32\wuauclt.exe

E:\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\System32\ipv6mons.dll

O2 - BHO: (no name) - {D1159422-16E3-462F-A93D-FB718E100407} - C:\WINDOWS\System32\d4xofa.dll (file missing)

O2 - BHO: (no name) - {dda68fce-66b8-46fb-800b-976ac32a3900} - C:\WINDOWS\system32\JAVery.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [VaCtrls] v7

O4 - HKLM\..\Run: [sysexec] C:\windows\webal.exe

O4 - HKLM\..\Run: [sysxp] C:\windows\bfxtray.exe

O4 - HKLM\..\Run: [vmsslodd] C:\WINDOWS\System32\consqiyg.exe

O4 - HKLM\..\Run: [ascdps] C:\WINDOWS\System32\itsdde.exe

O4 - HKLM\..\Run: [lmsser] C:\WINDOWS\System32\consqiyg.exe

O4 - HKLM\..\Run: [sdmcde] C:\WINDOWS\System32\consqiyg.exe

O4 - HKLM\..\Run: [windsllm] C:\WINDOWS\System32\consqiyg.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [drmconns] C:\WINDOWS\System32\dlmmsers.exe

O4 - HKLM\..\Run: [askdmme] secejpsi.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Administrador\Escritorio\ELISTARA.21052007.EXE

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [A00F7B747E.exe] C:\DOCUME~1\casa\CONFIG~1\Temp\_A00F7B747E.exe

O4 - HKCU\..\Run: [A00F7B749D.exe] C:\DOCUME~1\casa\CONFIG~1\Temp\_A00F7B749D.exe

O4 - HKCU\..\Run: [A00F7B74BC.exe] C:\DOCUME~1\casa\CONFIG~1\Temp\_A00F7B74BC.exe

O4 - HKCU\..\Run: [A00F7B7940.exe] C:\DOCUME~1\casa\CONFIG~1\Temp\_A00F7B7940.exe

O4 - HKCU\..\Run: [A00F818B44.exe] C:\DOCUME~1\casa\CONFIG~1\Temp\_A00F818B44.exe

O4 - HKCU\..\Run: [A00F2ED1F6.exe] C:\DOCUME~1\casa\CONFIG~1\Temp\_A00F2ED1F6.exe

O4 - HKCU\..\Run: [A00F2ED205.exe] C:\DOCUME~1\casa\CONFIG~1\Temp\_A00F2ED205.exe

O4 - HKCU\..\Run: [A00F2ED5DE.exe] C:\DOCUME~1\casa\CONFIG~1\Temp\_A00F2ED5DE.exe

O4 - HKCU\..\Run: [A00F2F1008.exe] C:\DOCUME~1\casa\CONFIG~1\Temp\_A00F2F1008.exe

O4 - HKCU\..\Run: [A00F34D4A8.exe] C:\DOCUME~1\casa\CONFIG~1\Temp\_A00F34D4A8.exe

O4 - HKCU\..\Run: [A00F34F04E.exe] C:\DOCUME~1\casa\CONFIG~1\Temp\_A00F34F04E.exe

O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\System32\vexg6ame4.exe

O4 - HKCU\..\Run: [vmsslodd] C:\WINDOWS\System32\consqiyg.exe

O4 - HKCU\..\Run: [Key] C:\DOCUME~1\casa\CONFIG~1\Temp\6D.exe

O4 - HKCU\..\Run: [ascdps] C:\WINDOWS\System32\itsdde.exe

O4 - HKCU\..\Run: [lmsser] C:\WINDOWS\System32\consqiyg.exe

O4 - HKCU\..\Run: [sdmcde] C:\WINDOWS\System32\consqiyg.exe

O4 - HKCU\..\Run: [Brave-Sentry] C:\Program Files\BraveSentry\BraveSentry.exe

O4 - HKCU\..\Run: [windsllm] C:\WINDOWS\System32\consqiyg.exe

O4 - HKCU\..\Run: [drmconns] C:\WINDOWS\System32\dlmmsers.exe

O4 - HKCU\..\Run: [askdmme] secejpsi.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://79o.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-MX/a-UNO1/GAME_UNO1.cab

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx

O20 - Winlogon Notify: JAVery - JAVery.dll (file missing)

O20 - Winlogon Notify: rpcc1 - C:\WINDOWS\System32\rpcc1.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O20 - Winlogon Notify: windii32 - C:\WINDOWS\SYSTEM32\windii32.dll

O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll

O20 - Winlogon Notify: __c00B5BF1 - C:\WINDOWS\System32\__c00B5BF1.dat

O21 - SSODL: WinCTL - {009541A0-3B00-1F1C-00F3-040224009C02} - C:\Archivos de programa\Archivos comunes\winctl.dll

O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\System32\aspi95935.exe (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Cola de impresión Spoolercisvc (Spoolercisvc) - Unknown owner - C:\WINDOWS\System32\msvcrtp.exe (file missing)

O23 - Service: vwservice - Unknown owner - C:\WINDOWS\System32\vwsrv.exe (file missing)

O23 - Service: Portable Media Serial Number Service WmdmPmSNccEvtMgr (WmdmPmSNccEvtMgr) - Unknown owner - C:\WINDOWS\System32\JAVARTz.exe
Arriba
kalushe
Mensajes: 15
Registrado: 24 Mar 2007, 11:15

Mensaje por kalushe » 13 May 2007, 06:33

ya les mande las muestras de algunos de los ficheros



WINDII32.DLL

XPUPDATE.EXE

SPOOLSVV.EXE



tambien tengo estos que no los envie



OPMNLL.DLL

DLH9JKD1Q2.EXE
Arriba
Avatar de Usuario
Claudia34
Mensajes: 1256
Registrado: 28 Feb 2007, 00:53

Mensaje por Claudia34 » 13 May 2007, 07:58

Ademas no veo que tengas instalado ni el service pack1 ni el pack2 de win xp. Si quieres estar mas protegido instala esos packs y luego haz un windows update completo para instalar todas las actualizaciones correspondientes sino aunque te solucionemos el problema, de vuelta estaras en la misma situacion, mas vale prevenir que lamentar luego. Saludos.
Reglas para estar aunque sea un 40% mas seguro en internet: "navegar con usuario limitado, tener 1 antispyware, 1 cortafuegos (por hardware), 1 antivirus,1 IDS y 1 HIPS en la pc actualizados, realizar un escaneo semanalmente con 7 antivirus online, usar site advisor, informarse diariamente de los temas de seguridad informatica, deshabilitar algunos servicios innecesarios de windows xp, analizar los archivos con virus total antes de abrirlos, utilizar algunas herramientas antimalware y antirootkit gratuitas para escaneo semanalmente, tener un poco de paranoia al navegar por internet (no confiar casi en nadie), utilizar un navegador que no tenga muchos agujeros de seguridad, hacer una copia de seguridad de los datos regularmente, tener actualizados todos los softwares en la pc ademas del S.O., no dar datos privados al navegar, utilizar una fuerte y compleja contraseña para todos los usuarios en la pc, cambiar las contraseñas cada poco tiempo, utilizar elipen, etc., etc." .
Arriba
jacotasa
Mensajes: 99
Registrado: 13 Ago 2005, 04:42
Ubicación: Hermosillo, Sonora, en México
Contactar:
Contactar jacotasa

Muy buen cultivo el tuyo

Mensaje por jacotasa » 13 May 2007, 08:29

Muy buen cultivo vírico... me dan lástima las computadoras que las exponen a todo esto (por no saber o por descuido)... pero no te preocupes, aquí te vamos a dejar limpio.



Busca borrar estas claves:

- - - - -

O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\System32\ipv6mons.dll

O2 - BHO: (no name) - {D1159422-16E3-462F-A93D-FB718E100407} - C:\WINDOWS\System32\d4xofa.dll (file missing)

O2 - BHO: (no name) - {dda68fce-66b8-46fb-800b-976ac32a3900} - C:\WINDOWS\system32\JAVery.dll (file missing)

- - - - -

O4 - HKCU\..\Run: [Key] C:\DOCUME~1\casa\CONFIG~1\Temp\6D.exe

- - - - -

O20 - Winlogon Notify: JAVery - JAVery.dll (file missing)

O20 - Winlogon Notify: rpcc1 - C:\WINDOWS\System32\rpcc1.dll (file missing)

- - - - -

O21 - SSODL: WinCTL - {009541A0-3B00-1F1C-00F3-040224009C02} - C:\Archivos de programa\Archivos comunes\winctl.dll

- - - - -

O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\System32\aspi95935.exe (file missing)

O23 - Service: Cola de impresión Spoolercisvc (Spoolercisvc) - Unknown owner - C:\WINDOWS\System32\msvcrtp.exe (file missing)

O23 - Service: vwservice - Unknown owner - C:\WINDOWS\System32\vwsrv.exe (file missing)

- - - - -



Te recomiendo que te armes de estas utilidades:

[url=http://www.zonavirus.com/descargas/elistara.asp]EliStarA[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]EliTriIP[/url]

[url=http://www.zonavirus.com/descargas/spybot-sd.asp]SpyBot Search & Destroy[/url] y su [url=http://www.spybotupdates.com/updates/files/spybotsd_includes.exe]actualización[/url].



Con estas herramientas, inicias tu sistema en modo a prueba de errores con funciones de red y entonces si viene la chamba:

1. Instalas el SpyBot y su actualización, reinicias siempre en modo a prueba de errores y corres el SpyBot.

2. En modo a prueba de errores corres las erramientas EliStarA y EliTriIP

3. En modo a prueba de errores con funciones de red corres un antivirus OnLine.



Ahora si puedes iniciar en modo normal para que lances un Windows Update.



Y a tener mas cuidado de ahora en adelante.



Ya con esto vas a tener un LOG del HJT mas limpio el cual posteas (pero solo depues de hacer todo lo que se te ha indicado). [color=red][b]Así es que a trabajar que va para largo[/b][/color].
Es bueno ver a un ser humano enfrentar sus problemas, pero considero mejor verlo ayudando a enfrentar los problemas a otros.

JACOTASA
Arriba
kalushe
Mensajes: 15
Registrado: 24 Mar 2007, 11:15

Mensaje por kalushe » 13 May 2007, 09:21

tengo una duda si les llego lo que les mande algunos ficheros

es lo que decia el elistara pero no sabia muy bien como mandarlos
Arriba
Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:
Contactar lucl

Mensaje por lucl » 13 May 2007, 09:59

mañana te lo diran pues hoy esta cerrado, pero yo me pregunto, que ocurrio con el resto de archivos que habias de enviar? nos cuentas si lo enviaste ya , saludos
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 14 May 2007, 19:41

Analizada las muestras, pasan a ser implementadas en las nuevas versiones del ELISTARA y ELITRIIP:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





SALUDOS



MS, 14-05-2007
Arriba
kalushe
Mensajes: 15
Registrado: 24 Mar 2007, 11:15

Mensaje por kalushe » 16 May 2007, 01:13

ahhhhh es muy grave el spyware que tiene creo que se llama save centry me manda a su pagina pero ahora el problema es que ni en modo seguro quiere prender se tarda muchisimo

y cuando le pase todo lo que me dijeron aparecio otra vez
Arriba
kalushe
Mensajes: 15
Registrado: 24 Mar 2007, 11:15

Mensaje por kalushe » 16 May 2007, 02:32

es un malware y me manda a esta pagina

http://scanner.malwarealarm.com/5/scan.php

se llama brave sentry
Arriba
Nuker
Mensajes: 1556
Registrado: 09 Oct 2006, 22:54
Ubicación: Guadalajara, Jalisco

Mensaje por Nuker » 16 May 2007, 02:37

Son controlados con las herramientas propuestas por MSC pruebelas y nos pega el log como le indica, Gracias.
[DJ eXploit]
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 16 May 2007, 07:23

Y donde está posteado el contenido de c:\infosat.txt ???



recuerde:


[quote]Analizada las muestras, pasan a ser implementadas en las nuevas versiones del ELISTARA y ELITRIIP:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



[b]Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/b][/quote]

Además, del log de HJT cabe indicar:



Pues empiece por instalar los parches !!!


[quote]Platform: Windows XP (WinNT 5.01.2600)



MSIE: Internet Explorer v6.00 (6.00.2600.0000)
[/quote]

FALTA DE PARCHES SP1



INSTALACION DEL SP1 DEL XP PARA PODER INSTALAR EL SP2: (O SEGUIR CON EL WINDOWSUPDATE)



http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx



(SE DEBE ESCOGER IDIOMA...)





FALTA DE PARCHES SP2



Deben actualizarse los parches de MICROSOFT. Le faltan todos los del SP2 y posteriores. Lance un windowsupdate !!!.





__________



y envienos para analizar estos ficheros:



C:\WINDOWS\System32\v7.exe



C:\WINDOWS\System32\consqiyg.exe





C:\WINDOWS\System32\itsdde.exe





C:\WINDOWS\System32\dlmmsers.exe





C:\WINDOWS\System32\secejpsi.exe



C:\WINDOWS\System32\ipv6mons.dll



C:\windows\webal.exe



C:\windows\bfxtray.exe



C:\WINDOWS\System32\dlmmsers.exe



C:\Program Files\BraveSentry\BraveSentry.exe



C:\WINDOWS\System32\vexg6ame4.exe



C:\DOCUME~1\casa\CONFIG~1\Temp\6D.exe



C:\WINDOWS\System32\itsdde.exe



C:\DOCUME~1\casa\CONFIG~1\Temp\_A00F*.exe (todos)



C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll



C:\WINDOWS\System32\__c00B5BF1.dat





y eliminar estas claves:





O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\System32\ipv6mons.dll



O4 - HKLM\..\Run: [VaCtrls] v7



O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll







->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334







saludos



ms, 16-05-2007
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 16 May 2007, 14:09

De los ficheros recibidos, 6 han resultado ser viricos, entre ellos 3 de una nueva variante de Brave Sentry, 2 Downloader Small y 1 Spam DcomServ, que pasamos a controlar y eliminar con la version de hoy del ELISTARA 13.98



a PARTIR DE LAS 20 H GMT ESTARÁ DISPONIBLE PARA SU EVALUACION





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



SALUDOS



ms, 16-05-2007
Arriba
Arkantos

Mensaje por Arkantos » 19 May 2007, 15:08

Olaaaaaaa y disculpas.



Ademas de lo que mis colegas te sugieren puedes probar con la herramienta RogueRemover, que sirve para botar variantes del Brave Sentry y sus hermanos (spy sheriff, Spy falcon, win Hound, etc)



Salu2!
Arriba
kalushe
Mensajes: 15
Registrado: 24 Mar 2007, 11:15

gracias

Mensaje por kalushe » 20 May 2007, 08:57

muchas gracias por toda la ayuda que me brindaron, la maquina estuvo corriendo bien pero prefirieron cambiar el disco duro ya que solo era de 2 .5 gigas (nada) no pude sacar los logs y demas cosas pero le agradezco y sigan asi que con su ayuda tambien aprendemos.



gracias
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 20 May 2007, 09:33

Pues es una pena, porque con el ELISTARA ACTUAL ya se controla y elimina, ...



En fin, a lo hecho, pecho !



Damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 20-05-2007
Arriba
mtaelisa
Mensajes: 1
Registrado: 03 Jun 2007, 05:14
Ubicación: Monterrey, N.L., México

Muestras

Mensaje por mtaelisa » 03 Jun 2007, 05:32

Hola



Ejecute el ELISTARA y ELISTRIIP, les envie las muestras y el archivo infosat dice lo siguiente:





Sat Jun 02 16:07:10 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "setup"="rundll32.exe "C:\WINXP\yabcdc.dll",realset" (Vundo)

[WinLogon\Notify\A3DXQ]

Por favor, envienos una muestra del fichero

C:\WinLogon\A3DX8.DLL

a "virus@satinfo.es". Gracias.

[SharedTaskScheduler "{2C1CD3D7-86AC-4068-93BC-A02304B20509}"]

Por favor, envienos una muestra del fichero

C:\Muestras\VPLY.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\DLH9JKD1Q6.EXE.Muestra EliStartPage v14.11

a "virus@satinfo.es". Gracias.

C:\WINXP\SYSTEM32\DLH9JKD1Q6.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DLH9JKD1Q7.EXE.Muestra EliStartPage v14.11

a "virus@satinfo.es". Gracias.

C:\WINXP\SYSTEM32\DLH9JKD1Q7.EXE --> Eliminado

C:\WINXP\SYSTEM32\DLH9JKD1Q8.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\KERNELS32.EXE.Muestra EliStartPage v14.11

a "virus@satinfo.es". Gracias.

C:\WINXP\SYSTEM32\KERNELS32.EXE --> Eliminado

C:\WINXP\SYSTEM32\WINCOM32.INI --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\YABCDC.DLL.Muestra EliStartPage v14.11

a "virus@satinfo.es". Gracias.

C:\WINXP\YABCDC.DLL --> Eliminado

C:\WINXP\SYSTEM32\KR_DONE1 --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Administrador\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

C:\WINXP\SYSTEM32\svcp.csv --> Eliminado (Fichero Complementario).

C:\WINXP\SYSTEM32\Winsub.xml --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "runner1"="C:\WINXP\retadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A"

Entrada Eliminada [HKLM\...\Run] "SPOOLSVV"="C:\WINXP\system32\spoolsvv.exe"

Entrada Eliminada [HKCU\...\Run] "Windows update loader"="C:\Windows\xpupdate.exe"

Eliminada Class, "{1557B435-8242-4686-9AA3-9265BF7525A4}" -> C:\WINXP\system32\tmp114.tmp.dll

Eliminada Class, "{2C1CD3D7-86AC-4068-93BC-A02304B60787}" -> C:\WINXP\system32\dtxmbyc.dll

Eliminada Class, "{D651AFF4-9590-424D-BD1E-8E33E090DFB3}" -> C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\tmp1.tmp.dll

Eliminado Servicio, "Driver"

Eliminado Servicio, "runtime"

Eliminada Carpeta "\Program Files\BraveSentry"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jun 02 18:53:52 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jun 02 18:54:23 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINXP\system32\VEXG4AM1ET2.EXE --> Eliminado, DownLoader.Vixup

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Sat Jun 02 19:19:01 2007

EliTriIP v3.61 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINXP\SYSTEM32\KERNEL32.EXE --> Eliminado

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sat Jun 02 19:24:24 2007

EliTriIP v3.61 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\PC Wizard 2007\Data\pcwpdf.dll --> Eliminado, Blaster.worm.A

C:\TrendMicroPCCsmall\System32\drivers\im\tm_cfw.sys --> Eliminado, RootKit

C:\TrendMicroPCCsmall_\System32\drivers\im\tm_cfw.sys --> Eliminado, RootKit

C:\TrendMicroPCCsmall__\System32\drivers\im\tm_cfw.sys --> Eliminado, RootKit

C:\TrendMicroPCCsmall____\System32\drivers\im\tm_cfw.sys --> Eliminado, RootKit

C:\WINXP\perfmon.exe --> Eliminado, IRCBot





Espero puedan ayudarme..

:lol: Gracias!!
Arriba
jacotasa
Mensajes: 99
Registrado: 13 Ago 2005, 04:42
Ubicación: Hermosillo, Sonora, en México
Contactar:
Contactar jacotasa

Bueno el cultivo

Mensaje por jacotasa » 03 Jun 2007, 07:19

Muy bueno el cultivo que tenías.



Pero lo importante es esperar a que se analicen las muestras para ver que claves de registro se perdieron y creo que en cuanto se analicen se agregará para su detección por EliStarA.



Además cuéntanos como va el rendimiento del PC a raíz de haber pasado las utilidades. Aunque hubiera sido bueno haber abierto un nuevo Post para lo tuyo, pero al no hacerlo, creo conveniente que continues en este para que nos postees tu Log del HJT.


[quote][url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]Descargar Hijackthis[/url]



Se recomienda ver los primeros Temas del apartado del HJT en este foro:



DE OBLIGADA LECTURA:

https://foros.zonavirus.com/viewtopic.php?t=6760



ANTES DE POSTEAR LOG PARA SU ANALISIS, LEER ESTO:

https://foros.zonavirus.com/viewtopic.php?t=5148



AVISO IMPORTANTE: NO MEZCLAR LOGS DE DOS ORDENADORES

https://foros.zonavirus.com/viewtopic.php?t=6268 [/quote]

[u]Además lanza un Windows Update[/u]:
[quote]No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

[color=red][b]ALERTA. WindowsUpdate Incompleto.[/b][/color][/quote]
Saludos y nos cuentas.
Es bueno ver a un ser humano enfrentar sus problemas, pero considero mejor verlo ayudando a enfrentar los problemas a otros.

JACOTASA
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 03 Jun 2007, 09:17

y fijaros en la ultima linea de este informe:



Sat Jun 02 18:54:23 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINXP\system32\VEXG4AM1ET2.EXE --> Eliminado, DownLoader.Vixup

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)





Pues es imprescindible seguir lo indicado en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469



saludos



ms, 2-06-2007
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 06 Jun 2007, 19:26

Para "mtaelisa"



Las muestras enviadas son controladas por la nueva version 14-13 del ELISTARA que se subira para evaluacion a partir de las 20 h GMT



saludos



ms, 6-06-2007
Arriba
Responder

Volver a “Foro Spyware”