creo que tengo un marciano (continuará...)
creo que tengo un marciano (continuará...)
pues mira despues de que me parecia que elordenador estaba limpio resulta que me saleel mensaje de que el sistema se va a cerrar yvan bajando los segundo pero no se apaga.Y cuando enciendo el ordenador me sale que bo ha podido accederse a V4mon.dll ¿significa algo?.Paso elantivirus y me sale que el archivo" i " es un virus llamado Bat.FTPDowloader y otro archivo llamado "winsysupd5.exe" que dice que es win32.hhooq.D.He pasado el online etrustque habeis aconsejado en alguna ocasion.¿que hago?
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Me has dicho que sí a todo pero me gustaría ver el C:\infosat.txt para ver lo relativo a elementos eliminados y demas.
Por otra parte de un forero que no ha posteado en el foro, "ErickDiaz" nos ha llegado un mail a SATINFO, que aunque no se haya posteado, he creido conveniente comentarlo en el foro en el Tema:
https://foros.zonavirus.com/viewtopic.php?t=10513
orecisando que el nombre del fichero que contenía el script es justamente "¡", que nos comentas
Sobre la DLL que encuentras a flatar, supongo que en el HJT debes tener la siguiemte clave:
O4 - HKLM\..\Run: [WinDLL (v4mon.dll)] rundll32.exe C:\WINDOWS\System32\v4mon.dll,start
y algo o alguien ha eliminado la DLL en cuestion, que al ser llamada y no existir, presenta el correspondiente ERROR.
Beamos pues tambien el log del HJT actual, posteanoslo tambien junto con el del INFOSAT, como respuesta a este Tema
A medio hacer este post veo tu correccion, de acuerdo.
Y lo del shutdown... estas segura de que no te faltan parches ??? ya lo veremos en los logs solicitados ...
Sobre el winsysupd5.exe
en proceso ...
Por otra parte de un forero que no ha posteado en el foro, "ErickDiaz" nos ha llegado un mail a SATINFO, que aunque no se haya posteado, he creido conveniente comentarlo en el foro en el Tema:
orecisando que el nombre del fichero que contenía el script es justamente "¡", que nos comentas
Sobre la DLL que encuentras a flatar, supongo que en el HJT debes tener la siguiemte clave:
O4 - HKLM\..\Run: [WinDLL (v4mon.dll)] rundll32.exe C:\WINDOWS\System32\v4mon.dll,start
y algo o alguien ha eliminado la DLL en cuestion, que al ser llamada y no existir, presenta el correspondiente ERROR.
Beamos pues tambien el log del HJT actual, posteanoslo tambien junto con el del INFOSAT, como respuesta a este Tema
A medio hacer este post veo tu correccion, de acuerdo.
Y lo del shutdown... estas segura de que no te faltan parches ??? ya lo veremos en los logs solicitados ...
Sobre el winsysupd5.exe
en proceso ...
Última edición por msc hotline sat el 09 Feb 2006, 15:58, editado 2 veces en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
te mando
Tue Feb 07 18:21:10 2006
EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
(Valor "MICROSOFT SERVICE PACK UPDATE")
Por favor, envienos una muestra del fichero
C:\WINDOWS\SYSTEM32\msspupd.exe
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\SYSHOST.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\SERVICES.EXE.Muestra EliTriIP v1.86
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SERVICES.EXE --> Renombrado a .VIR
Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com
Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.qoolaid.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.qoologic.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.CLKPrecision.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.urllogic.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.clkoptimizer.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.isearch.com
Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.idownload.com
Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.mytotalsearch.com
Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.lop.com
Linea Eliminada del HOSTS --> 127.0.0.1 lop.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.websearch.com
Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.page-not-found.net
Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net
Linea Eliminada del HOSTS --> 127.0.0.1http://www.isearchhere.com
Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com
Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1http://www.pacimedia.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.exactsearch.net
Linea Eliminada del HOSTS --> 127.0.0.1http://www.contextplus.net
Tue Feb 07 18:24:22 2006
EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
(Valor "MICROSOFT SERVICE PACK UPDATE")
Por favor, envienos una muestra del fichero
C:\WINDOWS\SYSTEM32\msspupd.exe
a "virus@satinfo.es ". Gracias.
Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com
Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.qoolaid.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.qoologic.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.CLKPrecision.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.urllogic.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.clkoptimizer.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.isearch.com
Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.idownload.com
Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.mytotalsearch.com
Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.lop.com
Linea Eliminada del HOSTS --> 127.0.0.1 lop.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.websearch.com
Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.page-not-found.net
Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net
Linea Eliminada del HOSTS --> 127.0.0.1http://www.isearchhere.com
Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com
Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1http://www.pacimedia.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.exactsearch.net
Linea Eliminada del HOSTS --> 127.0.0.1http://www.contextplus.net
Tue Feb 07 19:04:09 2006
EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\CONTROL PANEL] -> C:\WINDOWS\SYSTEM32\LVLM0931E.DLL
C:\WINDOWS\SYSTEM32\GUARD.TMP --> Eliminado Look2Me
C:\WINDOWS\SYSTEM32\LVLM0931E.DLL --> Eliminado Look2Me
Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com
Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.qoolaid.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.qoologic.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.CLKPrecision.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.urllogic.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.clkoptimizer.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.isearch.com
Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.idownload.com
Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.mytotalsearch.com
Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.lop.com
Linea Eliminada del HOSTS --> 127.0.0.1 lop.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.websearch.com
Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.page-not-found.net
Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net
Linea Eliminada del HOSTS --> 127.0.0.1http://www.isearchhere.com
Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com
Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1http://www.pacimedia.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.exactsearch.net
Linea Eliminada del HOSTS --> 127.0.0.1http://www.contextplus.net
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Tue Feb 07 19:07:29 2006
EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\WINDOWS\system32\m0pola731d.dll --> Eliminado, Look2Me
C:\WINDOWS\system32\__delete_on_reboot__kadgr1.dll --> Eliminado, Look2Me
Tue Feb 07 19:33:01 2006
EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
(Valor "MICROSOFT SERVICE PACK UPDATE")
Por favor, envienos una muestra del fichero
C:\WINDOWS\SYSTEM32\msspupd.exe
a "virus@satinfo.es ". Gracias.
Tue Feb 07 19:34:46 2006
EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Wed Feb 08 10:28:42 2006
EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
(Valor "MICROSOFT SERVICE PACK UPDATE")
Por favor, envienos una muestra del fichero
C:\WINDOWS\SYSTEM32\msspupd.exe
a "virus@satinfo.es ". Gracias.
Wed Feb 08 10:31:00 2006
EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Feb 09 11:54:59 2006
EliTriIP v1.87 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\MSSPUPD.EXE --> Eliminado
Entrada Eliminada [HKCU\...\Run] "MICROSOFT SERVICE PACK UPDATE"="msspupd.exe"
Entrada Eliminada [HKLM\...\Run] "MICROSOFT SERVICE PACK UPDATE"="msspupd.exe"
Entrada Eliminada [HKLM\...\RunServices] "MICROSOFT SERVICE PACK UPDATE"="msspupd.exe"
Thu Feb 09 11:55:33 2006
EliTriIP v1.87 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
C:\Documents and Settings\yolanda\Escritorio\msspupd.exe --> Eliminado, SdBot.worm.gen.G
Thu Feb 09 11:56:57 2006
EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Feb 09 12:08:46 2006
EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Feb 09 12:16:07 2006
EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Feb 09 12:54:26 2006
EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Feb 09 15:01:53 2006
EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
el infosat
Tue Feb 07 18:21:10 2006
EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
(Valor "MICROSOFT SERVICE PACK UPDATE")
Por favor, envienos una muestra del fichero
C:\WINDOWS\SYSTEM32\msspupd.exe
a "
C:\WINDOWS\SYSTEM32\SYSHOST.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\SERVICES.EXE.Muestra EliTriIP v1.86
a "
C:\WINDOWS\SERVICES.EXE --> Renombrado a .VIR
Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com
Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 lop.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com
Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Tue Feb 07 18:24:22 2006
EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
(Valor "MICROSOFT SERVICE PACK UPDATE")
Por favor, envienos una muestra del fichero
C:\WINDOWS\SYSTEM32\msspupd.exe
a "
Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com
Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 lop.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com
Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Tue Feb 07 19:04:09 2006
EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\CONTROL PANEL] -> C:\WINDOWS\SYSTEM32\LVLM0931E.DLL
C:\WINDOWS\SYSTEM32\GUARD.TMP --> Eliminado Look2Me
C:\WINDOWS\SYSTEM32\LVLM0931E.DLL --> Eliminado Look2Me
Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com
Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 lop.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com
Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Tue Feb 07 19:07:29 2006
EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\WINDOWS\system32\m0pola731d.dll --> Eliminado, Look2Me
C:\WINDOWS\system32\__delete_on_reboot__kadgr1.dll --> Eliminado, Look2Me
Tue Feb 07 19:33:01 2006
EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
(Valor "MICROSOFT SERVICE PACK UPDATE")
Por favor, envienos una muestra del fichero
C:\WINDOWS\SYSTEM32\msspupd.exe
a "
Tue Feb 07 19:34:46 2006
EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Wed Feb 08 10:28:42 2006
EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
(Valor "MICROSOFT SERVICE PACK UPDATE")
Por favor, envienos una muestra del fichero
C:\WINDOWS\SYSTEM32\msspupd.exe
a "
Wed Feb 08 10:31:00 2006
EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Feb 09 11:54:59 2006
EliTriIP v1.87 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\MSSPUPD.EXE --> Eliminado
Entrada Eliminada [HKCU\...\Run] "MICROSOFT SERVICE PACK UPDATE"="msspupd.exe"
Entrada Eliminada [HKLM\...\Run] "MICROSOFT SERVICE PACK UPDATE"="msspupd.exe"
Entrada Eliminada [HKLM\...\RunServices] "MICROSOFT SERVICE PACK UPDATE"="msspupd.exe"
Thu Feb 09 11:55:33 2006
EliTriIP v1.87 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
C:\Documents and Settings\yolanda\Escritorio\msspupd.exe --> Eliminado, SdBot.worm.gen.G
Thu Feb 09 11:56:57 2006
EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Feb 09 12:08:46 2006
EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Feb 09 12:16:07 2006
EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Feb 09 12:54:26 2006
EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Feb 09 15:01:53 2006
EliStartPage v11.12 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
el infosat
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Tenía en proceso mi respuesta cuando ya al continuar veo que ya has contestado !!!
Sí, envía los dos ficheros, y ahora miraré los logs, pues el fichero que estaba en proceso supongo debe cargarlo en una clave similar a
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd5.exe
y es mas de lo mismo, llamale SmitFrayd, Look2Me o como quieras...
Bueno voy a mirar los logs y sigo, mientras envia los ficheros igualmete con REF VUNDO; que tenemos abierta para tí.
saludos
ms, 9.2.2006
Sí, envía los dos ficheros, y ahora miraré los logs, pues el fichero que estaba en proceso supongo debe cargarlo en una clave similar a
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd5.exe
y es mas de lo mismo, llamale SmitFrayd, Look2Me o como quieras...
Bueno voy a mirar los logs y sigo, mientras envia los ficheros igualmete con REF VUNDO; que tenemos abierta para tí.
saludos
ms, 9.2.2006
Última edición por msc hotline sat el 09 Feb 2006, 16:48, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues envianos las muestras indicadas y posteanos el log del HJT actual. El error de la DLL es sencillo eliminar, bporrando la clave de carga y el otro veremos lo que es cuando nos lo envies
saludos
ms, 09.2.2005
saludos
ms, 09.2.2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Posteanos mientras el log del HJT como respuesta de este Tema, gracias
saludos
ms, 9.2.2006
saludos
ms, 9.2.2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Logfile of HijackThis v1.99.1
Scan saved at 16:30:49, on 09/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\AppPatch\Patches32\svchost.exe
C:\WINDOWS\AppPatch\Patches32\csrss.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
C:\Archivos de programa\HP\hpcoretech\comp\hptskmgr.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\ARCHIV~1\IZArc\IZArc.exe
C:\DOCUME~1\yolanda\CONFIG~1\Temp\ARC2B\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Archivos de programa\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 4
O4 - HKLM\..\Run: [taskbar.exe] C:\dm.exe
O4 - HKLM\..\Run: [Microsoft Secure Module] msmd.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinDLL (v4mon.dll)] rundll32.exe C:\WINDOWS\System32\v4mon.dll,start
O4 - HKLM\..\Run: [Microsoft Stpnlg] stuffnplug.exe
O4 - HKLM\..\Run: [Microsoft Spng] stfnplug.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunServices: [System Management] rundIl.exe
O4 - HKLM\..\RunServices: [Microsoft Stpnlg] stuffnplug.exe
O4 - HKLM\..\RunServices: [Microsoft Spng] stfnplug.exe
O4 - HKLM\..\RunServices: [Microsoft Secure Module] msmd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System Management] rundIl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunServices: [System Management] rundIl.exe
O4 - HKCU\..\RunServices: [Microsoft Stpnlg] stuffnplug.exe
O4 - HKCU\..\RunServices: [Microsoft Spng] stfnplug.exe
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Descargar con &BitSpirit - C:\ARCHIV~1\BITSPI~1\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{46246E6C-9594-49E7-B619-AC46E990B164}: NameServer = 80.58.61.250 80.58.61.254
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\lvlm0931e.dll (file missing)
O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\p4r40e9qeh.dll (file missing)
O20 - Winlogon Notify: opnnm - opnnm.dll (file missing)
O20 - Winlogon Notify: tuvuv - tuvuv.dll (file missing)
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Microsoft Dynamic Network (MDNetwork) - Unknown owner - C:\WINDOWS\system32\MDN.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)
Scan saved at 16:30:49, on 09/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\AppPatch\Patches32\svchost.exe
C:\WINDOWS\AppPatch\Patches32\csrss.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
C:\Archivos de programa\HP\hpcoretech\comp\hptskmgr.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\ARCHIV~1\IZArc\IZArc.exe
C:\DOCUME~1\yolanda\CONFIG~1\Temp\ARC2B\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Archivos de programa\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 4
O4 - HKLM\..\Run: [taskbar.exe] C:\dm.exe
O4 - HKLM\..\Run: [Microsoft Secure Module] msmd.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinDLL (v4mon.dll)] rundll32.exe C:\WINDOWS\System32\v4mon.dll,start
O4 - HKLM\..\Run: [Microsoft Stpnlg] stuffnplug.exe
O4 - HKLM\..\Run: [Microsoft Spng] stfnplug.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunServices: [System Management] rundIl.exe
O4 - HKLM\..\RunServices: [Microsoft Stpnlg] stuffnplug.exe
O4 - HKLM\..\RunServices: [Microsoft Spng] stfnplug.exe
O4 - HKLM\..\RunServices: [Microsoft Secure Module] msmd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System Management] rundIl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunServices: [System Management] rundIl.exe
O4 - HKCU\..\RunServices: [Microsoft Stpnlg] stuffnplug.exe
O4 - HKCU\..\RunServices: [Microsoft Spng] stfnplug.exe
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Descargar con &BitSpirit - C:\ARCHIV~1\BITSPI~1\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{46246E6C-9594-49E7-B619-AC46E990B164}: NameServer = 80.58.61.250 80.58.61.254
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\lvlm0931e.dll (file missing)
O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\p4r40e9qeh.dll (file missing)
O20 - Winlogon Notify: opnnm - opnnm.dll (file missing)
O20 - Winlogon Notify: tuvuv - tuvuv.dll (file missing)
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Microsoft Dynamic Network (MDNetwork) - Unknown owner - C:\WINDOWS\system32\MDN.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Efectivamente, se ha eliminado la DLL sin eliminar la clave de carga, eliminala de este HJT:
O4 - HKLM\..\Run: [WinDLL (v4mon.dll)] rundll32.exe C:\WINDOWS\System32\v4mon.dll,start
________
Pero para el otro, winsysupd5.exe, no veo que tengas la clave de carga, ni la que pensaba ni ninguna que cargue dicho fichero, asi que es probable que sea de las que esconden ficheros y claves cuando estñan en uso, para no ser vistas.
Pues vuelve a lanzar otra vez el HJT pero esta vez habiendo arrancado en modo seguro, para que no estñe en uso nada raro...
Espero dicho log y las muestras, gracias
saludos
ms, 9.2.2006
O4 - HKLM\..\Run: [WinDLL (v4mon.dll)] rundll32.exe C:\WINDOWS\System32\v4mon.dll,start
________
Pero para el otro, winsysupd5.exe, no veo que tengas la clave de carga, ni la que pensaba ni ninguna que cargue dicho fichero, asi que es probable que sea de las que esconden ficheros y claves cuando estñan en uso, para no ser vistas.
Pues vuelve a lanzar otra vez el HJT pero esta vez habiendo arrancado en modo seguro, para que no estñe en uso nada raro...
Espero dicho log y las muestras, gracias
saludos
ms, 9.2.2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
ya esta eliminado y ya no me sale lo del mensaje de v4mon.dll.Y aqui Logfile of HijackThis v1.99.1
Scan saved at 17:03:56, on 09/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\IZArc\IZArc.exe
C:\DOCUME~1\yolanda\CONFIG~1\Temp\ARC1\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Archivos de programa\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 4
O4 - HKLM\..\Run: [taskbar.exe] C:\dm.exe
O4 - HKLM\..\Run: [Microsoft Secure Module] msmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Stpnlg] stuffnplug.exe
O4 - HKLM\..\Run: [Microsoft Spng] stfnplug.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunServices: [System Management] rundIl.exe
O4 - HKLM\..\RunServices: [Microsoft Stpnlg] stuffnplug.exe
O4 - HKLM\..\RunServices: [Microsoft Spng] stfnplug.exe
O4 - HKLM\..\RunServices: [Microsoft Secure Module] msmd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System Management] rundIl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunServices: [System Management] rundIl.exe
O4 - HKCU\..\RunServices: [Microsoft Stpnlg] stuffnplug.exe
O4 - HKCU\..\RunServices: [Microsoft Spng] stfnplug.exe
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Descargar con &BitSpirit - C:\ARCHIV~1\BITSPI~1\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\lvlm0931e.dll (file missing)
O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\p4r40e9qeh.dll (file missing)
O20 - Winlogon Notify: opnnm - opnnm.dll (file missing)
O20 - Winlogon Notify: tuvuv - tuvuv.dll (file missing)
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)
O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Microsoft Dynamic Network (MDNetwork) - Unknown owner - C:\WINDOWS\system32\MDN.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)
esta el loj del hjt
Scan saved at 17:03:56, on 09/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\IZArc\IZArc.exe
C:\DOCUME~1\yolanda\CONFIG~1\Temp\ARC1\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Archivos de programa\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 4
O4 - HKLM\..\Run: [taskbar.exe] C:\dm.exe
O4 - HKLM\..\Run: [Microsoft Secure Module] msmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Stpnlg] stuffnplug.exe
O4 - HKLM\..\Run: [Microsoft Spng] stfnplug.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunServices: [System Management] rundIl.exe
O4 - HKLM\..\RunServices: [Microsoft Stpnlg] stuffnplug.exe
O4 - HKLM\..\RunServices: [Microsoft Spng] stfnplug.exe
O4 - HKLM\..\RunServices: [Microsoft Secure Module] msmd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System Management] rundIl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunServices: [System Management] rundIl.exe
O4 - HKCU\..\RunServices: [Microsoft Stpnlg] stuffnplug.exe
O4 - HKCU\..\RunServices: [Microsoft Spng] stfnplug.exe
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Descargar con &BitSpirit - C:\ARCHIV~1\BITSPI~1\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\lvlm0931e.dll (file missing)
O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\p4r40e9qeh.dll (file missing)
O20 - Winlogon Notify: opnnm - opnnm.dll (file missing)
O20 - Winlogon Notify: tuvuv - tuvuv.dll (file missing)
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)
O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Microsoft Dynamic Network (MDNetwork) - Unknown owner - C:\WINDOWS\system32\MDN.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)
esta el loj del hjt
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Cuando ya sabíamos decir "penícula" ahora le llaman "flim"...
Ayer tuvimos que entender lo que eran los .IZE, y ahora que lo sabemos, nos los envias en .7Z
QUE CARAILLO ES ESO ???
No tenemos bastante con los bichos que nos despistas aun mas ! Como si hiciera falta !!!
Explicoteate please, que si no no sabemos por donde cogerlo, y no es cuestion de que tengamos que descifrarlo...
Venga, que ya falta menos...
Y por cierto, hemos visto que en el primer ELITRIIP se eliminaba un SERVICES.EXE que se renombró y se pedía muestra, envianosla pues no era conocido, es que tienes todo un muestraruario...
Bueno me dicen que lo del .7Z es un encriptador que se puede desencriptar con ZIPZAG, pero vamos, mira que mos lo haces dificil, con lo facil que es empaquetar con el WINZIP indicandole que lo haga con password...
Y si el ONLINE ya te lo detectaba, si tienes ADSL a traves de router, arranca en modo seguro con funciones de red y lanzalo de esta manera, que asi podrá eliminar los virus que detecte.
Dinos si asi lo consigues, gracias
saludos
ms, 9.2.2006
Ayer tuvimos que entender lo que eran los .IZE, y ahora que lo sabemos, nos los envias en .7Z
QUE CARAILLO ES ESO ???
No tenemos bastante con los bichos que nos despistas aun mas ! Como si hiciera falta !!!
Explicoteate please, que si no no sabemos por donde cogerlo, y no es cuestion de que tengamos que descifrarlo...
Venga, que ya falta menos...
Y por cierto, hemos visto que en el primer ELITRIIP se eliminaba un SERVICES.EXE que se renombró y se pedía muestra, envianosla pues no era conocido, es que tienes todo un muestraruario...
Bueno me dicen que lo del .7Z es un encriptador que se puede desencriptar con ZIPZAG, pero vamos, mira que mos lo haces dificil, con lo facil que es empaquetar con el WINZIP indicandole que lo haga con password...
Y si el ONLINE ya te lo detectaba, si tienes ADSL a traves de router, arranca en modo seguro con funciones de red y lanzalo de esta manera, que asi podrá eliminar los virus que detecte.
Dinos si asi lo consigues, gracias
saludos
ms, 9.2.2006
Última edición por msc hotline sat el 09 Feb 2006, 17:31, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Si no puedes navegar en modo seguro con funciones de red es que no usas ADSL con router, quizas a traves de USB.
Voy a ver quien es tu ISP...
Es Telefonica, como no, pero sales desde Fuengirola, desde Morobia, desde Iruña , es que no paras quieta !!! Encima esto... entre las encriptaciones, las movidas de IP y la cantidad de bichos, empiezo a entender.
Como que no lo puedes eliminar, lo haremos por cadenas en el proximo ELISTARA, qie ya estamos haciendo.
saludos
ms, 9-2-2006
Voy a ver quien es tu ISP...
Es Telefonica, como no, pero sales desde Fuengirola, desde Morobia, desde Iruña , es que no paras quieta !!! Encima esto... entre las encriptaciones, las movidas de IP y la cantidad de bichos, empiezo a entender.
Como que no lo puedes eliminar, lo haremos por cadenas en el proximo ELISTARA, qie ya estamos haciendo.
saludos
ms, 9-2-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Vamos a compilar el ELISTARA de hoym en el que se incluye la eliminacion de "tu" bicho.
Aparte de envio un privado con datos que ya comentarás...
saludos
ms, 9-2-2006
Aparte de envio un privado con datos que ya comentarás...
saludos
ms, 9-2-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Disponible version 11.13 del ELISTARA:
---v11.13-( 9 de Febrero del 2006) (Muestras de IstBar.B "IINSTALL.EXE", DownLoader.ASN o ConHook y DCToolBar "WINSYSUPD5.EXE")
ms, 9.2.2006
---v11.13-( 9 de Febrero del 2006) (Muestras de IstBar.B "IINSTALL.EXE", DownLoader.ASN o ConHook y DCToolBar "WINSYSUPD5.EXE")
ms, 9.2.2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
es un script de un downloader por ftp.
Esta mañana contenía un script que descargaba un fichero desde una IP chilena, pero el tuyo lo hace de un ordenador con IP de Almeria, por lo que vemos que se trata de que del ordenador que te ha infectado vía IP, ahora descargues el gusano contenido en él, que en tu caso corresponde al fichero eraseme_03042.exe y esta vez a través del port 6697, como se puede ver en el script del fichero "i" enviado:
Dinos donde tienes este fichero "i" y si encuentras el fichero que pretende descargar, y si lo tienes nos lo envias, gracias.
Luego, este fichero "i" lo borras, como hace el antivirus de McAfee si lo encuentra, detectandolo como SDBOT.worm!.ftp
saludos
ms, 9.2.2006
Esta mañana contenía un script que descargaba un fichero desde una IP chilena, pero el tuyo lo hace de un ordenador con IP de Almeria, por lo que vemos que se trata de que del ordenador que te ha infectado vía IP, ahora descargues el gusano contenido en él, que en tu caso corresponde al fichero eraseme_03042.exe y esta vez a través del port 6697, como se puede ver en el script del fichero "i" enviado:
[quote]open 83.55.153.201 6697
user 1 1
get eraseme_03042.exe
quit[/quote]
Dinos donde tienes este fichero "i" y si encuentras el fichero que pretende descargar, y si lo tienes nos lo envias, gracias.
Luego, este fichero "i" lo borras, como hace el antivirus de McAfee si lo encuentra, detectandolo como SDBOT.worm!.ftp
saludos
ms, 9.2.2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Buscando relacion del fichero que intenta descargar el script de marras, con algun virus, se aprecia que el nombre de eraseme dice EraseMe, esto es, Borrame.
Cruzando su nombre con virus, aparece esta informacion, si bien no tiene porque ser mas que una casualidad:
http://www.techspot.com/vb/all/windows/t-43435-virus-erasemeexe-amp-helper1sassexe-msmsgrexe.html
Algun virus de Messenger ???
Voy a ver el otro de esta mañana si hay alguna relacion del nombre del fichero que descarga con virus ...
Este otro era:
open 201.214.187.37 30366
user 1 1
get setup_86048.exe
quit
sin duda script muy similar, pero desgraciadamente por el nombre de SETUP existen miles de gusanos que lo usan, asi que nos quedamos con las ganas...
a ver si el proximo... Morad si tenos unn foichero "i" en el ordenador, que abriendolo con el bloc de notas tiene un script de dichas caracteristicas, y si es asi posteadlo como respuesta de este Tema.
Dicen que no hay dos sin tres ...
saludos
ms, 9.2.2006
em proceso ...
Cruzando su nombre con virus, aparece esta informacion, si bien no tiene porque ser mas que una casualidad:
Algun virus de Messenger ???
Voy a ver el otro de esta mañana si hay alguna relacion del nombre del fichero que descarga con virus ...
Este otro era:
open 201.214.187.37 30366
user 1 1
get setup_86048.exe
quit
sin duda script muy similar, pero desgraciadamente por el nombre de SETUP existen miles de gusanos que lo usan, asi que nos quedamos con las ganas...
a ver si el proximo... Morad si tenos unn foichero "i" en el ordenador, que abriendolo con el bloc de notas tiene un script de dichas caracteristicas, y si es asi posteadlo como respuesta de este Tema.
Dicen que no hay dos sin tres ...
saludos
ms, 9.2.2006
em proceso ...
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Es la descripcion de un virus eraseme.exe que pudiera tener relacion
Examinaremos con lupa el fichero que me envias ERASEME.EXE a ver que hace, porque supongo que no lo sabes ...
Y al respecto erase en ingles es borra, y eraseme es borrame, y cuando hablan de borrar, despiertan la alerta !
Por cierto, dinos donde tenías el fichero "i", en qué carpeta o ruta, gracias ( y si todavñia no lo has borrado, hazlo ya ...)
saludos
ms, 9.2.2006
Examinaremos con lupa el fichero que me envias ERASEME.EXE a ver que hace, porque supongo que no lo sabes ...
Y al respecto erase en ingles es borra, y eraseme es borrame, y cuando hablan de borrar, despiertan la alerta !
Por cierto, dinos donde tenías el fichero "i", en qué carpeta o ruta, gracias ( y si todavñia no lo has borrado, hazlo ya ...)
saludos
ms, 9.2.2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
El fichero ERASEME.EXE ha llegado con 0 bytes, o sea sin nada...
Recuerdas si el que tenías (porque supongo que lo has borrado) tenía tamaño ? Y si aun lo tuvieras, mira de enviarnoslo de nuevo, a ver si contiene un virus o qué (mira que no esté a 0 bytes)
Estamos pensando que puede ser un malware que intrusione por ejemplo a traves de messenger, y que deje este fichero "i" con el script para poder descargar, de la maquina infectada, un determinado fichero,
Usas el Messenger ?
Si es asi, tienes algun contacto con alguien de Almeria ?
Hemos mirado de bajarnos este fichero a traves de ftp desde la IP del script, pero no estaba activa, señal que no es una web sino un usuario particular, lo cual apoya nuestra hipoitesis
Pero esto del shutdown de quie se va a apagar pero que no se apaga es nuevo ...! Normalmete los shutdowns los lanza windows ante un ERROR, y realmente cuando acaba la cuenta atras, apaga la maquina, pero uno falso, no lo conocemos todavia...
A ver si es lo del ERASEME ???
saludos
ms, 10-2-2006
Recuerdas si el que tenías (porque supongo que lo has borrado) tenía tamaño ? Y si aun lo tuvieras, mira de enviarnoslo de nuevo, a ver si contiene un virus o qué (mira que no esté a 0 bytes)
Estamos pensando que puede ser un malware que intrusione por ejemplo a traves de messenger, y que deje este fichero "i" con el script para poder descargar, de la maquina infectada, un determinado fichero,
Usas el Messenger ?
Si es asi, tienes algun contacto con alguien de Almeria ?
Hemos mirado de bajarnos este fichero a traves de ftp desde la IP del script, pero no estaba activa, señal que no es una web sino un usuario particular, lo cual apoya nuestra hipoitesis
Pero esto del shutdown de quie se va a apagar pero que no se apaga es nuevo ...! Normalmete los shutdowns los lanza windows ante un ERROR, y realmente cuando acaba la cuenta atras, apaga la maquina, pero uno falso, no lo conocemos todavia...
A ver si es lo del ERASEME ???
saludos
ms, 10-2-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
he pasado tambien el ad-aware y me sale esto
Lavasoft Ad-aware Personal Build 6.181
Logfile created on :viernes, 10 de febrero de 2006 10:22:35
Created with Ad-aware Personal, free for private use.
Using reference-file :01R347 26.10.2004
______________________________________________________
Ad-aware Settings
=========================
Set : Activate in-depth scan (Recommended)
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep scan registry
10-02-2006 10:22:35 - Scan started. (Smart mode)
Listing running processes
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ThreadCreationTime : 10-02-2006 1:01:02
BasePriority : Normal
#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ThreadCreationTime : 10-02-2006 1:01:10
BasePriority : High
#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 10-02-2006 1:01:11
BasePriority : Normal
FileSize : 99 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
Copyright : Copyright (C) Microsoft Corporation. Reservados todos los derechos.
CompanyName : Microsoft Corporation
FileDescription : Aplicaci
InternalName : services.exe
OriginalFilename : services.exe
ProductName : Sistema operativo Microsoft
Created on : 10/09/2002 12:00:00
Last accessed : 10/02/2006 9:09:22
Last modified : 10/09/2002 12:00:00
#:4 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 10-02-2006 1:01:12
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 10/09/2002 12:00:00
Last accessed : 10/02/2006 9:09:31
Last modified : 10/09/2002 12:00:00
#:5 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 10-02-2006 1:01:12
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 10/09/2002 12:00:00
Last accessed : 10/02/2006 9:09:31
Last modified : 10/09/2002 12:00:00
#:6 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 10-02-2006 1:01:15
BasePriority : Normal
FileSize : 50 KB
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
OriginalFilename : spoolsv.exe
ProductName : Microsoft
Created on : 10/09/2002 12:00:00
Last accessed : 10/02/2006 9:09:30
Last modified : 10/09/2002 12:00:00
#:7 [explorer.exe]
FilePath : C:\WINDOWS\
ThreadCreationTime : 10-02-2006 1:01:15
BasePriority : Normal
FileSize : 983 KB
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
CompanyName : Microsoft Corporation
FileDescription : Explorador de Windows
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Sistema operativo Microsoft
Created on : 10/09/2002 12:00:00
Last accessed : 10/02/2006 9:03:29
Last modified : 10/09/2002 12:00:00
#:8 [ewidoctrl.exe]
FilePath : C:\Archivos de programa\ewido anti-malware\
ThreadCreationTime : 10-02-2006 1:01:15
BasePriority : Normal
FileSize : 13 KB
FileVersion : 3, 0, 0, 1
ProductVersion : 3, 0, 0, 1
Copyright : Copyright
CompanyName : ewido networks
FileDescription : ewido control
InternalName : ewido control
OriginalFilename : ewidoctrl.exe
ProductName : ewido control
Created on : 30/11/2005 9:47:52
Last accessed : 10/02/2006 8:40:47
Last modified : 30/11/2005 9:47:52
#:9 [ewidoguard.exe]
FilePath : C:\Archivos de programa\ewido anti-malware\
ThreadCreationTime : 10-02-2006 1:01:15
BasePriority : Normal
FileSize : 148 KB
FileVersion : 3, 0, 0, 1
ProductVersion : 3, 0, 0, 1
Copyright : Copyright
CompanyName : ewido networks
FileDescription : guard
InternalName : guard
OriginalFilename : guard.exe
ProductName : guard
Created on : 18/12/2005 17:41:35
Last accessed : 10/02/2006 8:40:47
Last modified : 18/12/2005 17:41:35
#:10 [incdsrv.exe]
FilePath : C:\Archivos de programa\Ahead\InCD\
ThreadCreationTime : 10-02-2006 1:01:16
BasePriority : Normal
FileSize : 776 KB
FileVersion : 4, 0, 1, 26
ProductVersion : 4, 0, 1, 26
Copyright : Copyright
CompanyName : AHEAD Software
FileDescription : incdsrv
InternalName : incdsrv
OriginalFilename : incdsrv.exe
ProductName : AHEAD Software incdsrv
Created on : 23/01/2006 15:42:14
Last accessed : 10/02/2006 8:58:50
Last modified : 07/08/2003 13:20:46
#:11 [svchost.exe]
FilePath : C:\WINDOWS\AppPatch\Patches32\
ThreadCreationTime : 10-02-2006 1:01:16
BasePriority : Normal
FileSize : 22 KB
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 31/01/2006 9:26:09
Last accessed : 10/02/2006 9:02:01
Last modified : 20/02/2005 17:30:08
#:12 [csrss.exe]
FilePath : C:\WINDOWS\AppPatch\Patches32\
ThreadCreationTime : 10-02-2006 1:01:19
BasePriority : Normal
FileSize : 2014 KB
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
CompanyName : Microsoft Corporation
FileDescription : Client Server Runtime Process
InternalName : CSRSS.Exe
OriginalFilename : CSRSS.Exe
ProductName : Microsoft
Created on : 31/01/2006 9:26:09
Last accessed : 10/02/2006 9:02:01
Last modified : 23/05/2005 17:49:24
#:13 [hphmon05.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 10-02-2006 1:01:35
BasePriority : Normal
FileSize : 472 KB
FileVersion : 5,0,84
ProductVersion : 5,0,84
Copyright : Copyright (C) 2003
CompanyName : Hewlett-Packard
FileDescription : HPHmon05
InternalName : HPHmon05
OriginalFilename : HPHmon05.exe
ProductName : HP Photosmart
Created on : 23/01/2006 15:28:12
Last accessed : 10/02/2006 9:08:21
Last modified : 23/05/2003 2:56:00
#:14 [hpztsb09.exe]
FilePath : C:\WINDOWS\System32\spool\drivers\w32x86\3\
ThreadCreationTime : 10-02-2006 1:01:35
BasePriority : Normal
FileSize : 184 KB
FileVersion : 2.229.1.0
ProductVersion : 2.229.1.0
Copyright : Copyright (c) Hewlett-Packard Company 1999-2003
CompanyName : HP
ProductName : HP DeskJet
Created on : 23/01/2006 15:29:36
Last accessed : 10/02/2006 9:09:27
Last modified : 07/05/2003 19:56:22
#:15 [hpwuschd.exe]
FilePath : C:\Archivos de programa\Hewlett-Packard\HP Software Update\
ThreadCreationTime : 10-02-2006 1:01:35
BasePriority : Normal
FileSize : 48 KB
Created on : 17/12/2002 10:40:22
Last accessed : 10/02/2006 9:00:06
Last modified : 17/12/2002 10:40:22
#:16 [hpcmpmgr.exe]
FilePath : C:\Archivos de programa\HP\hpcoretech\
ThreadCreationTime : 10-02-2006 1:01:35
BasePriority : Normal
FileSize : 208 KB
FileVersion : 1.7.1.0
ProductVersion : 1.7.1.0
Copyright : Copyright (C) Hewlett-Packard. 2002-2003
CompanyName : Hewlett-Packard Company
FileDescription : HP Framework Component Manager Service
InternalName : HPComponentManagerService module
OriginalFilename : HPCmpMgr.exe
ProductName : hp coretech (COmponent REuse TECHnology)
Created on : 08/04/2003 11:45:44
Last accessed : 10/02/2006 9:00:35
Last modified : 08/04/2003 11:45:44
#:17 [incd.exe]
FilePath : C:\Archivos de programa\Ahead\InCD\
ThreadCreationTime : 10-02-2006 1:01:36
BasePriority : Normal
FileSize : 1180 KB
FileVersion : 4, 0, 1, 26
ProductVersion : 4, 0, 1, 26
Copyright : Copyright (C) 2003 Ahead Software and its licensors
CompanyName : Ahead Software AG
FileDescription : InCD
InternalName : InCD
OriginalFilename : InCD.exe
ProductName : InCD
Created on : 23/01/2006 15:42:13
Last accessed : 10/02/2006 8:58:49
Last modified : 07/08/2003 13:24:34
#:18 [msmsgs.exe]
FilePath : C:\Archivos de programa\Messenger\
ThreadCreationTime : 10-02-2006 1:01:36
BasePriority : Normal
FileSize : 1476 KB
FileVersion : 4.7.0041
ProductVersion : Version 4.7
Copyright : Copyright (c) Microsoft Corporation 1997-2001
CompanyName : Microsoft Corporation
FileDescription : Messenger
InternalName : msmsgs
OriginalFilename : msmsgs.exe
ProductName : Messenger
Created on : 23/01/2006 12:40:39
Last accessed : 10/02/2006 9:00:41
Last modified : 20/08/2002 14:08:38
#:19 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 10-02-2006 1:01:36
BasePriority : Normal
FileSize : 13 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
OriginalFilename : CTFMON.EXE
ProductName : Microsoft
Created on : 10/09/2002 12:00:00
Last accessed : 10/02/2006 9:06:13
Last modified : 10/09/2002 12:00:00
#:20 [dslmon.exe]
FilePath : C:\Archivos de programa\Telefonica\Kit ADSL USB\
ThreadCreationTime : 10-02-2006 1:01:37
BasePriority : Normal
FileSize : 880 KB
FileVersion : 1, 0, 0, 1
ProductVersion : 1, 0, 0, 1
Copyright : Copyright (C) 2000
FileDescription : ADIMON MFC Application
InternalName : DSLMON
OriginalFilename : ADIMON.EXE
ProductName : DSLMON Application
Created on : 23/01/2006 15:59:46
Last accessed : 10/02/2006 9:00:46
Last modified : 06/06/2003 16:53:52
#:21 [wzqkpick.exe]
FilePath : C:\Archivos de programa\WinZip\
ThreadCreationTime : 10-02-2006 1:01:37
BasePriority : Normal
FileSize : 120 KB
FileVersion : 1.0 (32-bit)
ProductVersion : 10.0 (6595)
Copyright : Copyright (c) WinZip International LLC 1991-2005 - All Rights Reserved
CompanyName : WinZip Computing LP
FileDescription : WinZip Executable
InternalName : WZQKPICK.EXE
OriginalFilename : WZQKPICK.EXE
ProductName : WinZip
Created on : 09/02/2006 16:16:38
Last accessed : 10/02/2006 9:01:09
Last modified : 16/11/2005 9:00:00
#:22 [aimmon.exe]
FilePath : C:\Archivos de programa\Telefonica\KitAIM\
ThreadCreationTime : 10-02-2006 1:01:42
BasePriority : Normal
FileSize : 328 KB
FileVersion : 1, 5, 4, 5
ProductVersion : 1, 5, 4, 5
Copyright : Telef
CompanyName : Telef
FileDescription : Aplicaci
InternalName : AIMMon
OriginalFilename : AIMMon.EXE
ProductName : Aplicaci
Created on : 23/01/2006 15:55:10
Last accessed : 10/02/2006 9:00:47
Last modified : 13/01/2004 0:00:10
#:23 [hpzipm12.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 10-02-2006 1:01:46
BasePriority : Normal
FileSize : 64 KB
FileVersion : 7, 0, 0, 0
ProductVersion : 7, 0, 0, 0
Copyright : Copyright
CompanyName : HP
FileDescription : PML Driver
InternalName : PmlDrv
OriginalFilename : PmlDrv.exe
ProductName : HP PML
Created on : 23/01/2006 15:29:48
Last accessed : 10/02/2006 9:08:26
Last modified : 14/05/2003 19:45:04
#:24 [hptskmgr.exe]
FilePath : C:\Archivos de programa\HP\hpcoretech\comp\
ThreadCreationTime : 10-02-2006 1:01:47
BasePriority : Normal
FileSize : 124 KB
FileVersion : 1.7.1.0
ProductVersion : 1.7.1.0
Copyright : Copyright (C) Hewlett-Packard. 2002-2003
CompanyName : Hewlett-Packard Company
FileDescription : HP Task Management Component
InternalName : HP Task Management Component
OriginalFilename : HPTskMgr.exe
ProductName : hp coretech (COmponent REuse TECHnology)
Created on : 08/04/2003 11:45:44
Last accessed : 10/02/2006 9:00:34
Last modified : 08/04/2003 11:45:44
#:25 [iexplore.exe]
FilePath : C:\Archivos de programa\Internet Explorer\
ThreadCreationTime : 10-02-2006 8:54:25
BasePriority : Normal
FileSize : 89 KB
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
CompanyName : Microsoft Corporation
FileDescription : Internet Explorer
InternalName : iexplore
OriginalFilename : IEXPLORE.EXE
ProductName : Sistema operativo Microsoft
Created on : 23/01/2006 12:42:25
Last accessed : 10/02/2006 9:00:37
Last modified : 10/09/2002 12:00:00
#:26 [iexplore.exe]
FilePath : C:\Archivos de programa\Internet Explorer\
ThreadCreationTime : 10-02-2006 8:57:45
BasePriority : Normal
FileSize : 89 KB
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
CompanyName : Microsoft Corporation
FileDescription : Internet Explorer
InternalName : iexplore
OriginalFilename : IEXPLORE.EXE
ProductName : Sistema operativo Microsoft
Created on : 23/01/2006 12:42:25
Last accessed : 10/02/2006 9:00:37
Last modified : 10/09/2002 12:00:00
#:27 [ad-aware.exe]
FilePath : C:\Archivos de programa\Lavasoft\Ad-aware 6\
ThreadCreationTime : 10-02-2006 9:22:14
BasePriority : Normal
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 24/01/2006 10:29:21
Last accessed : 10/02/2006 9:20:46
Last modified : 12/07/2003 21:00:20
Memory scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0
Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Windows Object recognized!
Type : RegData
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : regfile\shell\open\command
Value :
Data :
Registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 1
Started deep registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank
Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"
Deep registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 2
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Tracking Cookie Object recognized!
Type : File
Data : yolanda@atdmt[2].txt
Object : C:\Documents and Settings\yolanda\Cookies\
Created on : 09/02/2006 18:40:12
Last accessed : 10/02/2006 9:01:35
Last modified : 09/02/2006 18:40:12
Tracking Cookie Object recognized!
Type : File
Data : yolanda@doubleclick[1].txt
Object : C:\Documents and Settings\yolanda\Cookies\
Created on : 09/02/2006 18:38:27
Last accessed : 10/02/2006 9:01:35
Last modified : 09/02/2006 18:44:08
Tracking Cookie Object recognized!
Type : File
Data : yolanda@fastclick[2].txt
Object : C:\Documents and Settings\yolanda\Cookies\
Created on : 09/02/2006 18:44:09
Last accessed : 10/02/2006 9:01:35
Last modified : 09/02/2006 18:44:09
Tracking Cookie Object recognized!
Type : File
Data : yolanda@mediaplex[1].txt
Object : C:\Documents and Settings\yolanda\Cookies\
Created on : 09/02/2006 18:44:11
Last accessed : 10/02/2006 9:01:35
Last modified : 09/02/2006 18:44:11
Tracking Cookie Object recognized!
Type : File
Data : yolanda@tribalfusion[1].txt
Object : C:\Documents and Settings\yolanda\Cookies\
Created on : 09/02/2006 17:50:58
Last accessed : 10/02/2006 9:01:35
Last modified : 09/02/2006 17:50:58
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Deep scanning and examining files (C:)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 7
10:26:08 Scan complete
Summary of this scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total scanning time :00:03:32:837
Objects scanned :42221
Objects identified :7
Objects ignored :0
New objects :7
Lavasoft Ad-aware Personal Build 6.181
Logfile created on :viernes, 10 de febrero de 2006 10:22:35
Created with Ad-aware Personal, free for private use.
Using reference-file :01R347 26.10.2004
______________________________________________________
Ad-aware Settings
=========================
Set : Activate in-depth scan (Recommended)
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep scan registry
10-02-2006 10:22:35 - Scan started. (Smart mode)
Listing running processes
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ThreadCreationTime : 10-02-2006 1:01:02
BasePriority : Normal
#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ThreadCreationTime : 10-02-2006 1:01:10
BasePriority : High
#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 10-02-2006 1:01:11
BasePriority : Normal
FileSize : 99 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
Copyright : Copyright (C) Microsoft Corporation. Reservados todos los derechos.
CompanyName : Microsoft Corporation
FileDescription : Aplicaci
InternalName : services.exe
OriginalFilename : services.exe
ProductName : Sistema operativo Microsoft
Created on : 10/09/2002 12:00:00
Last accessed : 10/02/2006 9:09:22
Last modified : 10/09/2002 12:00:00
#:4 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 10-02-2006 1:01:12
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 10/09/2002 12:00:00
Last accessed : 10/02/2006 9:09:31
Last modified : 10/09/2002 12:00:00
#:5 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 10-02-2006 1:01:12
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 10/09/2002 12:00:00
Last accessed : 10/02/2006 9:09:31
Last modified : 10/09/2002 12:00:00
#:6 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 10-02-2006 1:01:15
BasePriority : Normal
FileSize : 50 KB
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
OriginalFilename : spoolsv.exe
ProductName : Microsoft
Created on : 10/09/2002 12:00:00
Last accessed : 10/02/2006 9:09:30
Last modified : 10/09/2002 12:00:00
#:7 [explorer.exe]
FilePath : C:\WINDOWS\
ThreadCreationTime : 10-02-2006 1:01:15
BasePriority : Normal
FileSize : 983 KB
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
CompanyName : Microsoft Corporation
FileDescription : Explorador de Windows
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Sistema operativo Microsoft
Created on : 10/09/2002 12:00:00
Last accessed : 10/02/2006 9:03:29
Last modified : 10/09/2002 12:00:00
#:8 [ewidoctrl.exe]
FilePath : C:\Archivos de programa\ewido anti-malware\
ThreadCreationTime : 10-02-2006 1:01:15
BasePriority : Normal
FileSize : 13 KB
FileVersion : 3, 0, 0, 1
ProductVersion : 3, 0, 0, 1
Copyright : Copyright
CompanyName : ewido networks
FileDescription : ewido control
InternalName : ewido control
OriginalFilename : ewidoctrl.exe
ProductName : ewido control
Created on : 30/11/2005 9:47:52
Last accessed : 10/02/2006 8:40:47
Last modified : 30/11/2005 9:47:52
#:9 [ewidoguard.exe]
FilePath : C:\Archivos de programa\ewido anti-malware\
ThreadCreationTime : 10-02-2006 1:01:15
BasePriority : Normal
FileSize : 148 KB
FileVersion : 3, 0, 0, 1
ProductVersion : 3, 0, 0, 1
Copyright : Copyright
CompanyName : ewido networks
FileDescription : guard
InternalName : guard
OriginalFilename : guard.exe
ProductName : guard
Created on : 18/12/2005 17:41:35
Last accessed : 10/02/2006 8:40:47
Last modified : 18/12/2005 17:41:35
#:10 [incdsrv.exe]
FilePath : C:\Archivos de programa\Ahead\InCD\
ThreadCreationTime : 10-02-2006 1:01:16
BasePriority : Normal
FileSize : 776 KB
FileVersion : 4, 0, 1, 26
ProductVersion : 4, 0, 1, 26
Copyright : Copyright
CompanyName : AHEAD Software
FileDescription : incdsrv
InternalName : incdsrv
OriginalFilename : incdsrv.exe
ProductName : AHEAD Software incdsrv
Created on : 23/01/2006 15:42:14
Last accessed : 10/02/2006 8:58:50
Last modified : 07/08/2003 13:20:46
#:11 [svchost.exe]
FilePath : C:\WINDOWS\AppPatch\Patches32\
ThreadCreationTime : 10-02-2006 1:01:16
BasePriority : Normal
FileSize : 22 KB
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 31/01/2006 9:26:09
Last accessed : 10/02/2006 9:02:01
Last modified : 20/02/2005 17:30:08
#:12 [csrss.exe]
FilePath : C:\WINDOWS\AppPatch\Patches32\
ThreadCreationTime : 10-02-2006 1:01:19
BasePriority : Normal
FileSize : 2014 KB
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
CompanyName : Microsoft Corporation
FileDescription : Client Server Runtime Process
InternalName : CSRSS.Exe
OriginalFilename : CSRSS.Exe
ProductName : Microsoft
Created on : 31/01/2006 9:26:09
Last accessed : 10/02/2006 9:02:01
Last modified : 23/05/2005 17:49:24
#:13 [hphmon05.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 10-02-2006 1:01:35
BasePriority : Normal
FileSize : 472 KB
FileVersion : 5,0,84
ProductVersion : 5,0,84
Copyright : Copyright (C) 2003
CompanyName : Hewlett-Packard
FileDescription : HPHmon05
InternalName : HPHmon05
OriginalFilename : HPHmon05.exe
ProductName : HP Photosmart
Created on : 23/01/2006 15:28:12
Last accessed : 10/02/2006 9:08:21
Last modified : 23/05/2003 2:56:00
#:14 [hpztsb09.exe]
FilePath : C:\WINDOWS\System32\spool\drivers\w32x86\3\
ThreadCreationTime : 10-02-2006 1:01:35
BasePriority : Normal
FileSize : 184 KB
FileVersion : 2.229.1.0
ProductVersion : 2.229.1.0
Copyright : Copyright (c) Hewlett-Packard Company 1999-2003
CompanyName : HP
ProductName : HP DeskJet
Created on : 23/01/2006 15:29:36
Last accessed : 10/02/2006 9:09:27
Last modified : 07/05/2003 19:56:22
#:15 [hpwuschd.exe]
FilePath : C:\Archivos de programa\Hewlett-Packard\HP Software Update\
ThreadCreationTime : 10-02-2006 1:01:35
BasePriority : Normal
FileSize : 48 KB
Created on : 17/12/2002 10:40:22
Last accessed : 10/02/2006 9:00:06
Last modified : 17/12/2002 10:40:22
#:16 [hpcmpmgr.exe]
FilePath : C:\Archivos de programa\HP\hpcoretech\
ThreadCreationTime : 10-02-2006 1:01:35
BasePriority : Normal
FileSize : 208 KB
FileVersion : 1.7.1.0
ProductVersion : 1.7.1.0
Copyright : Copyright (C) Hewlett-Packard. 2002-2003
CompanyName : Hewlett-Packard Company
FileDescription : HP Framework Component Manager Service
InternalName : HPComponentManagerService module
OriginalFilename : HPCmpMgr.exe
ProductName : hp coretech (COmponent REuse TECHnology)
Created on : 08/04/2003 11:45:44
Last accessed : 10/02/2006 9:00:35
Last modified : 08/04/2003 11:45:44
#:17 [incd.exe]
FilePath : C:\Archivos de programa\Ahead\InCD\
ThreadCreationTime : 10-02-2006 1:01:36
BasePriority : Normal
FileSize : 1180 KB
FileVersion : 4, 0, 1, 26
ProductVersion : 4, 0, 1, 26
Copyright : Copyright (C) 2003 Ahead Software and its licensors
CompanyName : Ahead Software AG
FileDescription : InCD
InternalName : InCD
OriginalFilename : InCD.exe
ProductName : InCD
Created on : 23/01/2006 15:42:13
Last accessed : 10/02/2006 8:58:49
Last modified : 07/08/2003 13:24:34
#:18 [msmsgs.exe]
FilePath : C:\Archivos de programa\Messenger\
ThreadCreationTime : 10-02-2006 1:01:36
BasePriority : Normal
FileSize : 1476 KB
FileVersion : 4.7.0041
ProductVersion : Version 4.7
Copyright : Copyright (c) Microsoft Corporation 1997-2001
CompanyName : Microsoft Corporation
FileDescription : Messenger
InternalName : msmsgs
OriginalFilename : msmsgs.exe
ProductName : Messenger
Created on : 23/01/2006 12:40:39
Last accessed : 10/02/2006 9:00:41
Last modified : 20/08/2002 14:08:38
#:19 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 10-02-2006 1:01:36
BasePriority : Normal
FileSize : 13 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
OriginalFilename : CTFMON.EXE
ProductName : Microsoft
Created on : 10/09/2002 12:00:00
Last accessed : 10/02/2006 9:06:13
Last modified : 10/09/2002 12:00:00
#:20 [dslmon.exe]
FilePath : C:\Archivos de programa\Telefonica\Kit ADSL USB\
ThreadCreationTime : 10-02-2006 1:01:37
BasePriority : Normal
FileSize : 880 KB
FileVersion : 1, 0, 0, 1
ProductVersion : 1, 0, 0, 1
Copyright : Copyright (C) 2000
FileDescription : ADIMON MFC Application
InternalName : DSLMON
OriginalFilename : ADIMON.EXE
ProductName : DSLMON Application
Created on : 23/01/2006 15:59:46
Last accessed : 10/02/2006 9:00:46
Last modified : 06/06/2003 16:53:52
#:21 [wzqkpick.exe]
FilePath : C:\Archivos de programa\WinZip\
ThreadCreationTime : 10-02-2006 1:01:37
BasePriority : Normal
FileSize : 120 KB
FileVersion : 1.0 (32-bit)
ProductVersion : 10.0 (6595)
Copyright : Copyright (c) WinZip International LLC 1991-2005 - All Rights Reserved
CompanyName : WinZip Computing LP
FileDescription : WinZip Executable
InternalName : WZQKPICK.EXE
OriginalFilename : WZQKPICK.EXE
ProductName : WinZip
Created on : 09/02/2006 16:16:38
Last accessed : 10/02/2006 9:01:09
Last modified : 16/11/2005 9:00:00
#:22 [aimmon.exe]
FilePath : C:\Archivos de programa\Telefonica\KitAIM\
ThreadCreationTime : 10-02-2006 1:01:42
BasePriority : Normal
FileSize : 328 KB
FileVersion : 1, 5, 4, 5
ProductVersion : 1, 5, 4, 5
Copyright : Telef
CompanyName : Telef
FileDescription : Aplicaci
InternalName : AIMMon
OriginalFilename : AIMMon.EXE
ProductName : Aplicaci
Created on : 23/01/2006 15:55:10
Last accessed : 10/02/2006 9:00:47
Last modified : 13/01/2004 0:00:10
#:23 [hpzipm12.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 10-02-2006 1:01:46
BasePriority : Normal
FileSize : 64 KB
FileVersion : 7, 0, 0, 0
ProductVersion : 7, 0, 0, 0
Copyright : Copyright
CompanyName : HP
FileDescription : PML Driver
InternalName : PmlDrv
OriginalFilename : PmlDrv.exe
ProductName : HP PML
Created on : 23/01/2006 15:29:48
Last accessed : 10/02/2006 9:08:26
Last modified : 14/05/2003 19:45:04
#:24 [hptskmgr.exe]
FilePath : C:\Archivos de programa\HP\hpcoretech\comp\
ThreadCreationTime : 10-02-2006 1:01:47
BasePriority : Normal
FileSize : 124 KB
FileVersion : 1.7.1.0
ProductVersion : 1.7.1.0
Copyright : Copyright (C) Hewlett-Packard. 2002-2003
CompanyName : Hewlett-Packard Company
FileDescription : HP Task Management Component
InternalName : HP Task Management Component
OriginalFilename : HPTskMgr.exe
ProductName : hp coretech (COmponent REuse TECHnology)
Created on : 08/04/2003 11:45:44
Last accessed : 10/02/2006 9:00:34
Last modified : 08/04/2003 11:45:44
#:25 [iexplore.exe]
FilePath : C:\Archivos de programa\Internet Explorer\
ThreadCreationTime : 10-02-2006 8:54:25
BasePriority : Normal
FileSize : 89 KB
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
CompanyName : Microsoft Corporation
FileDescription : Internet Explorer
InternalName : iexplore
OriginalFilename : IEXPLORE.EXE
ProductName : Sistema operativo Microsoft
Created on : 23/01/2006 12:42:25
Last accessed : 10/02/2006 9:00:37
Last modified : 10/09/2002 12:00:00
#:26 [iexplore.exe]
FilePath : C:\Archivos de programa\Internet Explorer\
ThreadCreationTime : 10-02-2006 8:57:45
BasePriority : Normal
FileSize : 89 KB
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
CompanyName : Microsoft Corporation
FileDescription : Internet Explorer
InternalName : iexplore
OriginalFilename : IEXPLORE.EXE
ProductName : Sistema operativo Microsoft
Created on : 23/01/2006 12:42:25
Last accessed : 10/02/2006 9:00:37
Last modified : 10/09/2002 12:00:00
#:27 [ad-aware.exe]
FilePath : C:\Archivos de programa\Lavasoft\Ad-aware 6\
ThreadCreationTime : 10-02-2006 9:22:14
BasePriority : Normal
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 24/01/2006 10:29:21
Last accessed : 10/02/2006 9:20:46
Last modified : 12/07/2003 21:00:20
Memory scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0
Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Windows Object recognized!
Type : RegData
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : regfile\shell\open\command
Value :
Data :
Registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 1
Started deep registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank
Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"
Deep registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 2
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Tracking Cookie Object recognized!
Type : File
Data : yolanda@atdmt[2].txt
Object : C:\Documents and Settings\yolanda\Cookies\
Created on : 09/02/2006 18:40:12
Last accessed : 10/02/2006 9:01:35
Last modified : 09/02/2006 18:40:12
Tracking Cookie Object recognized!
Type : File
Data : yolanda@doubleclick[1].txt
Object : C:\Documents and Settings\yolanda\Cookies\
Created on : 09/02/2006 18:38:27
Last accessed : 10/02/2006 9:01:35
Last modified : 09/02/2006 18:44:08
Tracking Cookie Object recognized!
Type : File
Data : yolanda@fastclick[2].txt
Object : C:\Documents and Settings\yolanda\Cookies\
Created on : 09/02/2006 18:44:09
Last accessed : 10/02/2006 9:01:35
Last modified : 09/02/2006 18:44:09
Tracking Cookie Object recognized!
Type : File
Data : yolanda@mediaplex[1].txt
Object : C:\Documents and Settings\yolanda\Cookies\
Created on : 09/02/2006 18:44:11
Last accessed : 10/02/2006 9:01:35
Last modified : 09/02/2006 18:44:11
Tracking Cookie Object recognized!
Type : File
Data : yolanda@tribalfusion[1].txt
Object : C:\Documents and Settings\yolanda\Cookies\
Created on : 09/02/2006 17:50:58
Last accessed : 10/02/2006 9:01:35
Last modified : 09/02/2006 17:50:58
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Deep scanning and examining files (C:)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 7
10:26:08 Scan complete
Summary of this scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total scanning time :00:03:32:837
Objects scanned :42221
Objects identified :7
Objects ignored :0
New objects :7