-
kaninox
- Mensajes: 106
- Registrado: 21 May 2007, 05:46
Mensaje
por kaninox » 24 May 2007, 22:46
Holas yo nuevamente, esta mañana para probar mi pc pase el hjt para ver mi log solo de curioso y me di cuenta que hay algo raro nuevamente...
C:\WINDOWS\system32\wuauclt.exe
me meti a la raiz y aparecio un dll mas especificamente clown.dll
no se pero me tinca que el virus se esta expandiendo nuevamente, como sabre que lo expande ya que se supone habiamos solucionado el tema :/
ud. me dicen si envio muestras o son archivos de sistema y me estoy pasando rollos...
todo caso estoy ahora instalando las actualizaciones de windows y le voy a pasar otro antivirico online a ver que tal...
Logfile of HijackThis v1.99.1
Scan saved at 15:50:24, on 24/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\Servidor\mysql\bin\mysqld-nt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\Windows\Temp\Rar$EX00.062\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.2.7.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CCE8D8A-2147-467B-90ED-77BF0A9833E7}: NameServer = 216.155.73.40 216.155.73.41
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: MySql - Unknown owner - C:/Servidor/mysql/bin/mysqld-nt.exe
-
kaninox
- Mensajes: 106
- Registrado: 21 May 2007, 05:46
Mensaje
por kaninox » 25 May 2007, 00:03
bueno le corri a mi pc el total scan y me detecto el clown.dll y se supone lo elimino pero no sale nada del archivo .exe que creo me llevo a crearlo, todo caso salia que era un virus latente o sea si lo aplico me afecta pero como yo no tengo idea aun del tema no se que tan asi sea.
les dejo el informe que me entrego total scan como se ve es el sbot que menciono msc en su tiempo pero cuando corri elistart y elitrip no me figuro nada :/
;***********************************************************************************************************************************************************************************
ANALYSIS: 2007-05-24 17:06:46
PROTECTIONS: 0
MALWARE: 19
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.doubleclick.net/]
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.atdmt.com/]
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.tradedoubler.com/]
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.tradedoubler.com/]
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.tradedoubler.com/]
00145457 Cookie/FastClick TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.fastclick.net/]
00145457 Cookie/FastClick TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.fastclick.net/]
00145457 Cookie/FastClick TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.fastclick.net/]
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.tribalfusion.com/]
00148816 Cookie/Hitbox TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.hitbox.com/]
00148816 Cookie/Hitbox TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.hitbox.com/]
00159564 Cookie/WUpd TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.revenue.net/]
00167647 Cookie/Yadro TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.yadro.ru/]
00167647 Cookie/Yadro TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.yadro.ru/]
00167704 Cookie/Xiti TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.xiti.com/]
00167738 Cookie/fe.lea.lycos TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[fe.lea.lycos.es/]
00167753 Cookie/Statcounter TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.statcounter.com/]
00167753 Cookie/Statcounter TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.statcounter.com/]
00167753 Cookie/Statcounter TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.statcounter.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[ad.yieldmanager.com/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.adtech.de/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.advertising.com/]
00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[statse.webtrendslive.com/]
00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.questionmarket.com/]
00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.questionmarket.com/]
00172221 Cookie/Zedo TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.zedo.com/]
00172221 Cookie/Zedo TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.zedo.com/]
00172221 Cookie/Zedo TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.zedo.com/]
00172221 Cookie/Zedo TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.zedo.com/]
00184846 Cookie/Adrevolver TrackingCookie No 0 Yes Yes C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\cookies.txt[.adrevolver.com/]
00529478 W32/Sdbot.KLL.worm Virus/Trojan No 1 Yes Yes C:\clown.dll
00529478 W32/Sdbot.KLL.worm Virus/Trojan No 1 Yes Yes C:\WINDOWS\system32\clown.dll
;===================================================================================================================================================================================
SUSPECTS
Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 25 May 2007, 06:54
Antes de analizar tu log, por el titulo te digo que pruebes la ultima version del ELITRIIP pues recuerdo que ayer controlamos este clown...:
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
y paso a leer tu post...
log limpio, y sí, ya eliminaste el clown:
00529478 W32/Sdbot.KLL.worm Virus/Trojan No 1 Yes Yes C:\clown.dll
00529478 W32/Sdbot.KLL.worm Virus/Trojan No 1 Yes Yes C:\WINDOWS\system32\clown.dll
En el texto solicitado del infosat.txt veremos el resultado del proceso y podremos obrar en consecuencia
saludos
ms, 25-05-2007
-
kaninox
- Mensajes: 106
- Registrado: 21 May 2007, 05:46
Mensaje
por kaninox » 25 May 2007, 16:27
msc hay algo muy rarisimo el elitrip no me detecta el clouwn.dll y aunque lo elimine manualmente reinicio y hay esta mira el log
Fri May 25 09:29:31 2007
EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Fri May 25 09:29:34 2007
EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Fri May 25 09:32:10 2007
EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Fri May 25 09:32:15 2007
EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
Fri May 25 09:33:12 2007
EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
Fri May 25 09:33:16 2007
EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\
esta todo limpio pero clown.dll aun sigue hay ?
te envio la muestra se trata del mismo virus o no :/
te dejo tambien mi log jht
Logfile of HijackThis v1.99.1
Scan saved at 9:36:23, on 25/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\Servidor\mysql\bin\mysqld-nt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
E:\lo mejor para virus\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.2.7.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CCE8D8A-2147-467B-90ED-77BF0A9833E7}: NameServer = 216.155.73.40 216.155.73.41
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: MySql - Unknown owner - C:/Servidor/mysql/bin/mysqld-nt.exe
Última edición por
kaninox el 25 May 2007, 16:32, editado 1 vez en total.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 25 May 2007, 16:32
No estas probando la version actual del ELITRIIP !!!
SIEMPRE SE DEBE PROBAR LA ULTIMA, Y MAS EN ESTE CASO, CLARO
Ayer subimos la 3.60...
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 25 May 2007, 16:33
No estas probando la version actual del ELITRIIP !!!
SIEMPRE SE DEBE PROBAR LA ULTIMA, Y MAS EN ESTE CASO, CLARO
Ayer subimos la 3.60 para este clown:
https://foros.zonavirus.com/nuevas-versiones-de-elistaraexe-1405-y-elitriipexe-360-vt18735.html
Descargala y pruebala y nos posteas el infosat, gracias
saludos
ms, 25-05-2007
-
kaninox
- Mensajes: 106
- Registrado: 21 May 2007, 05:46
Mensaje
por kaninox » 25 May 2007, 16:49
claramente era eso perdon por el error, muchas gracias como siempre, si hay alguna otra anomalia aviso pero de momento se supone todo ok :)
Fri May 25 09:29:31 2007
EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Fri May 25 09:29:34 2007
EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Fri May 25 09:32:10 2007
EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Fri May 25 09:32:15 2007
EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
Fri May 25 09:33:12 2007
EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
Fri May 25 09:33:16 2007
EliTriIP v3.59 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\
Fri May 25 09:41:59 2007
EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Fri May 25 09:42:01 2007
EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\clown.dll --> Eliminado, RBot.CIQ
Fri May 25 09:46:07 2007
EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Fri May 25 09:46:11 2007
EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Fri May 25 09:52:24 2007
EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Fri May 25 09:52:26 2007
EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\clown.dll.vir --> Eliminado, RBot.CIQ
muchas gracias
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 25 May 2007, 22:39
Tras cerrar el Tema por considerarlo solucionado, me indica en privado que se le ha regenerado.
Pues repite la prueba del ELITRIIP pero arrancando en modo seguro y nos cuentas el resultado, gracias
saludos
ms, 25-05-2007
-
kaninox
- Mensajes: 106
- Registrado: 21 May 2007, 05:46
Mensaje
por kaninox » 26 May 2007, 06:04
ya lo pase en modo seguro y de momento bien, puede quedar abierto unos dias para comprobar si no se duplica de ser asi paso a avisar si se me duplico nuevamente o ya esta solucionado gracias
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 26 May 2007, 08:19
Si te vuelve a entrar haz lo mismo, pero no es cuestion de que se regenere en base de mas tiempo, si no se ha regenerado tras el reinicio, ya que si hubiera un dropper hubiera actuado inmediatamente y si no se hubiera eliminado totalmente como antes, ya lo tendrías de nuevo.
De todas formas dejo el Tema abierto para que lo compruebes y nos indiques cuando creas que ya está solucionado.
saludos
ms, 26-05-2007
-
kaninox
- Mensajes: 106
- Registrado: 21 May 2007, 05:46
Mensaje
por kaninox » 27 May 2007, 03:08
bueno cuando reinicio no hay problema no esta el viruelo pero habro cualquier aplicacion instalada como el fireworks messenger paint y este me devuelve los clown.dll
algo raro aparte de eso una ves aparece los clown .dll a veces el navegador se me cierra, repentinamente, pero supondre que es por otros motivos
bueno eso que se le puede hacer ?
reinstaar todos los programas?
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 27 May 2007, 12:02
Lo volveremos a monitorizar el lunes y obraremos en consecuencia
saludos
ms, 27-05-2007
-
kaninox
- Mensajes: 106
- Registrado: 21 May 2007, 05:46
Mensaje
por kaninox » 28 May 2007, 01:56
elitrip me envio ahora un mensaje, ya le envie la muestra me dice si llego o no para reenviarla
Sun May 27 18:55:08 2007
EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WIN32X.EXE.Muestra EliTriIP v3.60
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\WIN32X.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Microsoft"="win32x.exe"
Entrada Eliminada [HKLM\...\RunServices] "Microsoft"="win32x.exe"
Sun May 27 18:55:28 2007
EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\clown.dll --> Eliminado, RBot.CIQ
C:\Servidor\mysql\data\soundvol32.exe --> Eliminado, RBot
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 28 May 2007, 08:17
Tras la ultima eliminacion, indicanos si persiste algun problema, gracias
saludos
ms, 28-05-2007
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 28 May 2007, 17:17
La muestra enviada es una variante de RBOT que pasa a ser controlada y eliminada con la version de hoy del ELITIRIP 3.61
SALUDOS
ms, 28-05-2007
-
kaninox
- Mensajes: 106
- Registrado: 21 May 2007, 05:46
Mensaje
por kaninox » 29 May 2007, 01:59
ya se supone se elimino nuevamente, pero no se volvera a aparecer por cierto al reiniciar me aprecio un nuevo archivo que no detecto elistara le envie una muestra de affid.exe
saludos...
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 29 May 2007, 08:01
Pues lo analizaremos e implementaremos su control y eliminacion, si procede, en las proximas versiones de nuestras utilidades, de lo cual informaremos
saludos
ms, 29-05-2007
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 29 May 2007, 14:10
Nueva muestra recibida (AFFID.EXE) es un DOWNLOADER y se implementa en el ELISTARA 14.09 de hoy, que estará disponible a partir de las 20 h GMT para pruebas de evaluacion en este foro.
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 29.05.2007
-
kaninox
- Mensajes: 106
- Registrado: 21 May 2007, 05:46
Mensaje
por kaninox » 29 May 2007, 23:36
me parece que esta vez estamos limpios pero dejo el log de hjt por que hay unas cositas que no se qe son ?
espero no sean viruelos ni cosas por el estilo :P
Logfile of HijackThis v1.99.1
Scan saved at 16:39:33, on 29/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\Servidor\mysql\bin\mysqld-nt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\devldr32.exe <--- que es esto?
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe <---- y esto ?
E:\lo mejor para virus\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.2.7.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu206.exe 61A847B5BBF72810329D284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: MySql - Unknown owner - C:/Servidor/mysql/bin/mysqld-nt.exe
y bueno el log del elistara
Tue May 29 16:29:21 2007
EliStartPage v14.09 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "runner1"="C:\WINDOWS\retadpu206.exe 61A847B5BBF72810329D284503996897C881250221C8670836AC4FA7C8833201749139"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Tue May 29 16:30:14 2007
EliStartPage v14.09 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\AFFID.EXE --> Eliminado, DownLoader.Agent.BRF
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\496785IF\WR-1-0000206[1].EXE --> Eliminado, DownLoader.Agent.BRF
eso de moemnto se supone que si ya no hay nada estamos listos, de volver el viruelo le aviso por mp para reabrir si fuera neceseario, ahora si encuentra algo raro en los archivos que mencione seguimos aqui creo :P
saludos y muchas gracias por su tiempo...
Edito Me volvio aparecer el clown.dll y pues como puedo saber que es lo que lo lleva a regenarase me tinca que debe ser una carpeta o un programa como el messenger, pero como puedo saber ello...?
o sea si es una foto o un programa u un mp3 etc... esque lo malo es que mi pc lo ocupan mis hermanillas y pff con eso del fotolog pero no les puedo borar sus cosas asi por asi despues sabiendo que quisas es un programa o algo :/ ayuda plis :P
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 30 May 2007, 08:18
Envianos este fichero para analizar:
C:\WINDOWS\retadpu206.exe
->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
saludos
ms, 30-05-2007
-
kaninox
- Mensajes: 106
- Registrado: 21 May 2007, 05:46
Mensaje
por kaninox » 30 May 2007, 10:21
mmm ya no lo tengo :/ y eso que busque como archivo oculto y de sistema y todo, como ya me enseño y nada...
mire para ser sincero tenia todo eliminado y trabaje normalmente y nada.. mi hermana solo ocupo msn y aparecio el clown.dll voy a pensar que es msn asi que lo quite tanto el msn como el msn plus! voy a trabajar unos dias sin ellos instalados y le cuento si me reaparece el viruelo o no...
de ser asi sera otra fuente de no ser asi asunto arreglado era msn...
bueno, si necesita otra muestra me lo dice con gusto la envio, pero la que me solicita ya n se encuentra...
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 30 May 2007, 10:39
No, este era el mas probable, pues la clave que lo lanzaba acompañaba una ristra de bytes muy sospechosa:
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu206.exe 61A847B5BBF72810329D284503996897C881250221C8670836AC4FA7C8833201749139
que el ELISTARA ha eliminado, pero hubieramos querido controlar el fichero por cadenas.
De todas formas si no vuelve a aparecer damos el tema por solucionado y sino, ya sabe donde estamos
saludos
ms, 30-05-2007
-
kaninox
- Mensajes: 106
- Registrado: 21 May 2007, 05:46
Mensaje
por kaninox » 30 May 2007, 12:05
:'( creo que voy a llorar, volvio el desgraciado :( clown.dll pero le enviare una imagen por que creo que me las infecto todas, ya que habri mi pc y todo ok solo habri esta imagen y aparecio bueno tenia abierto tambien fireworks y firefox solo eso pero no estaba ocupando niuno de ellos, solo por verificar entre a C:/ y nada no estaba el famoso dll pero habro una imagen o sea doble click y suas que aparece, entonces le envio una imagen para muestra espero que no esten todas infectadas no las puedo perder :(
queria pedir disculpas por las molestias, he molestado mucho con esto :(
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 30 May 2007, 12:15
Si nos tuvieramos que desesperar ante los contratiempos viricos, ya estariamos de baja por depresion, que está de moda ! :wink:
Ademas, si no fuera por estos problemas no le haríamos falta, asi que ...
Veamos en estos momentos lo que nos muestra el log, pero mejor el del SPROCES, que es mas exhaustivo:
SPROCES (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp
Y posteanos el contenido del C:\SPROCLOG.TXT :
saludos
ms, 30-05-2007
-
kaninox
- Mensajes: 106
- Registrado: 21 May 2007, 05:46
Mensaje
por kaninox » 30 May 2007, 21:03
tonces seguimos :) les posteo el log de errores
Wed May 30 14:07:51 2007
SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2
Internet Explorer: (v7.0.5730.11) 0
Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\EPSON\EBAPI\SAGENT2.EXE
C:\SERVIDOR\MYSQL\BIN\MYSQLD-NT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\DEVLDR32.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE
C:\DOCUMENTS AND SETTINGS\UNDER FAMILY\ESCRITORIO\SPROCES.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet Helper - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.2.7.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu206.exe 61A847B5BBF72810329D284503996897C881250221C8670836AC4FA7C8833201749139
O4 - Startup: desktop.ini
O4 - Global Startup: desktop.ini
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk
O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CCE8D8A-2147-467B-90ED-77BF0A9833E7}: NameServer = 216.155.73.40 216.155.73.41
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll
Información Adicional:
----------------------
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: MySql - Unknown owner - C:\WINDOWS\SYSTEM32\C:/Servidor/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Adaptador Fast Ethernet ADMtek AN983/AN985/ADM951X 10/100Mbps (AN983) - ADMtek Incorporated. - C:\WINDOWS\SYSTEM32\DRIVERS\AN983.sys
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Puerto de juegos de Creative SB Live! (ctljystk) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ctljystk.sys
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Creative SB Live! (WDM) (emu10k) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\emu10k1m.sys
O23 - Service: Controlador del administrador Creative Interface (WDM) (emu10k1) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\ctlfacem.sys
O23 - Service: HCF_MSFT - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HCF_MSFT.sys
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS
O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: Controlador del administrador Creative SoundFont (WDM) (sfman) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\sfmanm.sys
O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)
Listado de Servicios (Deshabilitados):
--------------------------------------
O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
18 Servicios.
4 de Carga Automatica.
13 de Carga Manual.
1 Deshabilitados.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 30 May 2007, 22:22
A ver, ya hablamos del fichero retadpu206.exe, del que te pedimos muetsra, dijiste que seguro no lo tenias, y quedamos que lo eliminabas del registro de sistema
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu206.exe 61A847B5BBF72810329D284503996897C881250221C8670836AC4FA7C8833201749139
Pues bien, en el ultimo log vuelve a aparecer..., asi que huele muy mal !!!
A ver si lo encuentras ahora (quizas se ha regenerado con la clave ???) y nos lo envias, o eliminas de una vez la clave !!!
A por él que tiene muchos números de ser el culpable.
saludos
ms, 30-05-2007
-
kaninox
- Mensajes: 106
- Registrado: 21 May 2007, 05:46
Mensaje
por kaninox » 30 May 2007, 22:35
pues no lo encuentro ....
como le hago pa eliminarlo con la clave?
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 30 May 2007, 22:38
Como se indica en
->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
o es que no lo has mirado ???
Venga ... !
saludos
ms, 30-05-2007
-
kaninox
- Mensajes: 106
- Registrado: 21 May 2007, 05:46
Mensaje
por kaninox » 30 May 2007, 23:12
andales X) si lo habia visto :P sorry esque taba volando...
bueno ya borre todo todo vamos haber si era eso ojala lo sea, lo voy a dejar de prueba hoy, ojala no se vuelva a regenerar
gracias nuevamente...
el ultimo log
Wed May 30 16:16:45 2007
SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2
Internet Explorer: (v7.0.5730.11) 0
Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\EPSON\EBAPI\SAGENT2.EXE
C:\SERVIDOR\MYSQL\BIN\MYSQLD-NT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\WINDOWS\SYSTEM32\DEVLDR32.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
E:\LO MEJOR PARA VIRUS\SPROCES.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet Helper - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.2.7.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: desktop.ini
O4 - Global Startup: desktop.ini
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk
O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CCE8D8A-2147-467B-90ED-77BF0A9833E7}: NameServer = 216.155.73.40 216.155.73.41
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll
Información Adicional:
----------------------
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: MySql - Unknown owner - C:\WINDOWS\SYSTEM32\C:/Servidor/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Adaptador Fast Ethernet ADMtek AN983/AN985/ADM951X 10/100Mbps (AN983) - ADMtek Incorporated. - C:\WINDOWS\SYSTEM32\DRIVERS\AN983.sys
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Puerto de juegos de Creative SB Live! (ctljystk) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ctljystk.sys
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Creative SB Live! (WDM) (emu10k) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\emu10k1m.sys
O23 - Service: Controlador del administrador Creative Interface (WDM) (emu10k1) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\ctlfacem.sys
O23 - Service: HCF_MSFT - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HCF_MSFT.sys
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS
O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: Controlador del administrador Creative SoundFont (WDM) (sfman) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\sfmanm.sys
O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)
Listado de Servicios (Deshabilitados):
--------------------------------------
O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
18 Servicios.
4 de Carga Automatica.
13 de Carga Manual.
1 Deshabilitados.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 31 May 2007, 07:05
Bueno, pues por ahora log limpio, dejo el Tema abierto para que nos digas si se mantiene sin problemas, pero ojo con lo que haces !!! :wink:
saludos
ms, 31-05-2007
msc hotline sat Virus Research Engineer