Problema para eliminar VirusBurst (SOLUCIONADO)

[Mazinger]

Hola, tengo un problema que me harían un gran favor en ayudarme a resolverlo... se instaló el VirusBurst en mi sistema y después de seguir todos los pasos para desinfectarlo utilizando hijackthis, delPSGuard y spy-sweeper, el signito de interrogación latoso me sigue apareciendo abajo a la derecha... qué más puedo hacer??



Agradezco de antemano las respuestas.



Saludos.

[msc hotline sat]

VIRUSBURST---PUPER---isamonitor--ELISTARA

(PSW.x-vir) - ficheros en carpeta *codec*



Prueba el ELISTARA...





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 15-10-2006

[Mazinger]

Sun Oct 15 02:53:29 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINDOWS\UpdReg.EXE"



Sun Oct 15 03:12:13 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Oct 15 03:13:38 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Owner\My Documents\My Completed Downloads\LIMEWIREWIN.EXE --> AutoExtraible

C:\Program Files\LimeWire\UNINSTALL.EXE --> AutoExtraible

C:\Program Files\Pure Networks\Port Magic\RG\BELKIN.DLL --> Eliminado, 180Solutions

C:\Program Files\Registry Mechanic\RMSCRN.EXE --> Eliminado, QLowZones-12

C:\Program Files\TOSHIBA\TOSHIBA Applet\THOTUTIL.EXE --> Eliminado, QDial.Internazionale

C:\Program Files\TOSHIBA\TOSHIBA Applet\TOUCHPAD.EXE --> Eliminado, QDial.Internazionale

C:\Program Files\Winamp\UNINSTALL_DFX.EXE --> AutoExtraible



Sun Oct 15 03:20:43 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Oct 15 03:23:17 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Owner\My Documents\My Completed Downloads\LIMEWIREWIN.EXE --> AutoExtraible

C:\Program Files\LimeWire\UNINSTALL.EXE --> AutoExtraible

C:\Program Files\Winamp\UNINSTALL_DFX.EXE --> AutoExtraible

[Mazinger]

Perdón, no se solucionó mi problema... corrí el programa y el anterior post es el log que me resultó. Reinicié porque me dijo que una entrada se eliminaría al hacerlo, pero tampoco pudo eliminarla así... era una que se llamaba KEYLOG o algo así, será ese el problema?? Gracias

[msc hotline sat]

Pues tras reiniciar, cuentanos si persiste el problema del iconito a la derecha de la barra de inicio, gracias



saludos



ms,. 15-10-2006

[msc hotline sat]

Se cruzaron los post... :lol:



Posteanos log del HJT_:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, infornaremos







saludos



ms, 15-10-2006

[Mazinger]

Ya reinicié de nuevo y me sigue saliendo que no puede eliminar una cosa que se llama SSI.DLL-->KeyLogger.FL



El log de hjt aquí... gracias







Logfile of HijackThis v1.99.1

Scan saved at 04:11:42 a.m., on 15/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5700.0006)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe

C:\Program Files\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\CTSvcCDA.EXE

C:\WINDOWS\system32\DVDRAMSV.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\ssoftsrv.exe

C:\WINDOWS\system32\svchost.exe

c:\Toshiba\IVP\swupdate\swupdtmr.exe

C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\ZoneLabs\isafe.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4D1.EXE

C:\Program Files\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\DAP\DAP.EXE

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\RAMASST.exe

C:\Program Files\Webroot\Spy Sweeper\SSU.EXE

C:\Program Files\NYKO\Gamepad Mapping Tools\ngpmap.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\TOSHIBA\TOSHIBA Applet\THotkey.exe

C:\PROGRA~1\Webshots\webshots.scr

C:\Program Files\HiJackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKLM\..\Run: [EPSON Stylus C83 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4D1.EXE" /P23 "EPSON Stylus C83 Series" /O6 "USB001" /M "Stylus C83"

O4 - HKLM\..\Run: [CTSysVol] "C:\Program Files\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe" /r

O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Downloads\EliStarA.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - Startup: NYKO Gamepad Mapping Tools.lnk = C:\Program Files\NYKO\Gamepad Mapping Tools\ngpmap.exe

O4 - Startup: Shortcut to THotkey.lnk = C:\Program Files\TOSHIBA\TOSHIBA Applet\THotkey.exe

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O12 - Plugin for .cgi: C:\Program Files\Internet Explorer\PLUGINS\npchime.dll

O12 - Plugin for .csm: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .csml: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .cub: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .cube: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .dx: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .emb: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .embl: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .gau: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .jdx: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .mol: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .mop: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .pdb: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .rxn: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .scr: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .skc: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O12 - Plugin for .spt: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .tgf: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .xyz: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.toshibadirect.com/dpdstart

O16 - DPF: {044123B5-35DF-4C4E-BAED-26B8ED964342} (HLiveRobotWeb Control) - https://update3.globalhauri.com/Custom/LiveSuite/BANAMEX/web/HLiveRobotWeb.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmbox.itelcel.com/mmawap/jsp/composer/player/mmsPlayer.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Bluetooth Software\bin\btwdins.exe

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Cryptainer service (ssoftservice) - Cypherix - C:\WINDOWS\SYSTEM32\ssoftsrv.exe

O23 - Service: Swupdtmr - Unknown owner - c:\Toshiba\IVP\swupdate\swupdtmr.exe

O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

[msc hotline sat]

La carga del icono no es visible desde el log del HJT



Con el ELISTARA hubieramos podido ver lo eliminado al respecto si no hubiera utilizado antes el delPSGuard y spy-sweeper



Ahora está mal limpiado, y ha sido peor el remedio que la enfermedad



Espero que su problema lo reportará antes de hacer nada otro usuario y podremos ver en el infosat las claves eliminadas y por ellas encontraremos la del iconito dichoso



Por si con ello la vieramos, lance el SPROCES y posteenos el log resultante y lo analizaremos





SPROCES (en desarrollo)

http://www.zonavirus.com/descargas/sproces.asp





el log de salida lo tiene en C:\SPROCLOG.TXT



saludos



ms, 15-10-2006

[Mazinger]

Hola de nuevo, aquí el log de SPROCESS... espero que aquí sí se pueda ver algo, gracias.





Sun Oct 15 14:17:21 2006

SProces v2.3 (c)2006 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5700.6) Release Candidate



Procesos Activos:

------------------

C:\WINDOWS\SYSTEM32\SMSS.EXE -> smss.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Windows NT Session Manager, Microsoft Corporation

C:\WINDOWS\SYSTEM32\WINLOGON.EXE -> WINLOGON.EXE, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Windows NT Logon Application, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SERVICES.EXE -> services.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Services and Controller app, Microsoft Corporation

C:\WINDOWS\SYSTEM32\LSASS.EXE -> lsass.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), LSA Shell (Export Version), Microsoft Corporation

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\PROGRAM FILES\INTEL\WIRELESS\BIN\EVTENG.EXE -> EvtEng.EXE, 9, 0, 1, 12, EvtEng Module, Intel Corporation

C:\PROGRAM FILES\INTEL\WIRELESS\BIN\S24EVMON.EXE -> S24EvMon.exe, 9, 0, 1, 41, Event Monitor - Supports driver extensions to NIC Driver for wi9, 0, 1, 41, Intel Corporation

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE -> spoolsv.exe, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519), Spooler SubSystem App, Microsoft Corporation

C:\PROGRAM FILES\BLUETOOTH SOFTWARE\BIN\BTWDINS.EXE -> BTWDIns.EXE, 1.4.2 Build 10, Bluetooth Support Server, WIDCOMM, Inc.

C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE -> CTsvcCDA.EXE, 1.0.1.0, Creative Service for CDROM Access, Creative Technology Ltd

C:\WINDOWS\SYSTEM32\DVDRAMSV.EXE -> DVDRAMSV.EXE, 3, 0, 0, 0, DVD-RAM Utility Helper Service, Matsushita Electric Industrial Co., Ltd.

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE -> mdm.exe, 7.00.9466, Machine Debug Manager, Microsoft Corporation

C:\PROGRAM FILES\INTEL\WIRELESS\BIN\REGSRVC.EXE -> RegSrvc.EXE, 9, 0, 1, 10, RegSrvc Module, Intel Corporation

C:\PROGRAM FILES\ANALOG DEVICES\SOUNDMAX\SMAGENT.EXE -> SMAgent.exe, 3, 2, 6, 0, SoundMAX service agent component, Analog Devices, Inc.

C:\WINDOWS\SYSTEM32\SSOFTSRV.EXE -> ssoftsrv.exe, 4.1.0.0, Service, Cypherix

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\TOSHIBA\IVP\SWUPDATE\SWUPDTMR.EXE -> , , ,

C:\PROGRAM FILES\TOSHIBA\TOSHIBA APPLET\TAPPSRV.EXE -> TAPPSRV.EXE, 1, 0, 0, 10M, TOSHIBA TAPPSRV, TOSHIBA Corp.

C:\WINDOWS\SYSTEM32\ZONELABS\VSMON.EXE -> vsmon.exe, 6.5.737.000, TrueVector Service, Zone Labs, LLC

C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE -> SpySweeper.exe, 3,0,7,1608, Spy Sweeper Engine, Webroot Software, Inc.

C:\WINDOWS\SYSTEM32\MSPMSPSV.EXE -> MSPMSPSV.EXE, 7.00.00.1954, WMDM PMSP Service, Microsoft Corporation

C:\WINDOWS\SYSTEM32\ZONELABS\ISAFE.EXE -> ISafe.exe, Version 10.67.0.0, ISafe Service, Computer Associates International, Inc.

C:\PROGRAM FILES\INTEL\WIRELESS\BIN\ZCFGSVC.EXE -> ZeroCfgSvc.EXE, 9, 0, 1, 51, ZeroCfgSvc MFC Application, Intel Corporation

C:\WINDOWS\EXPLORER.EXE -> EXPLORER.EXE, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158), Windows Explorer, Microsoft Corporation

C:\PROGRA~1\INTEL\WIRELESS\BIN\1XCONFIG.EXE -> 1XConfig.EXE, 9, 0, 1, 35, 8021XConfig Module, Intel

C:\WINDOWS\SYSTEM32\CTFMON.EXE -> CTFMON.EXE, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), CTF Loader, Microsoft Corporation

C:\PROGRAM FILES\INTEL\WIRELESS\BIN\IFRMEWRK.EXE -> iFramewrk.exe, 9, 0, 1, 19, Intel Framework MFC Application, Intel Corporation

C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPERUI.EXE -> SpySweeper.exe, 5,0,7,1608, Spy Sweeper Client Executable, Webroot Software, Inc.

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_S4I4D1.EXE -> E_S4I4D1.EXE, 3.00, EPSON Status Monitor 3, SEIKO EPSON CORPORATION

C:\PROGRAM FILES\CREATIVE\SOUND BLASTER\SURROUND MIXER\CTSYSVOL.EXE -> CTSysVol.exe, 1.2.6.0, CTSysVol.exe, Creative Technology Ltd

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE -> RUNDLL.EXE, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Run a DLL as an App, Microsoft Corporation

C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE -> zlclient.exe, 6.5.737.000, Zone Labs Client, Zone Labs, LLC

C:\PROGRAM FILES\DAP\DAP.EXE -> DAP.EXE, 8, 1, 3, 8, Download Accelerator Plus (DAP), Speedbit Ltd.

C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE -> msnmsgr.exe, 8.0.0812.00, Messenger, Microsoft Corporation

C:\PROGRAM FILES\MICROSOFT ACTIVESYNC\WCESCOMM.EXE -> WCESCOMM.EXE, 3.7.1.4034, ActiveSync Connection Manager, Microsoft Corporation

C:\PROGRAM FILES\COMMON FILES\AHEAD\LIB\NMBGMONITOR.EXE -> NMBgMonitor.exe, 1, 5, 0, 13, Nero Home, Nero AG

C:\WINDOWS\SYSTEM32\RAMASST.EXE -> RAMASST.EXE, 1, 1, 0, 0, CD Burning of Windows XP disabling tool for DVD MULTI Drive, Matsushita Electric Industrial Co., Ltd.

C:\PROGRAM FILES\COMMON FILES\AHEAD\LIB\NMINDEXSTORESVR.EXE -> NMIndexStoreSvr.exe, 1, 5, 0, 13, Nero Home, Nero AG

C:\PROGRAM FILES\NYKO\GAMEPAD MAPPING TOOLS\NGPMAP.EXE -> ngpmap.rc, 2, 0, 0, 2, NYKO Gamepad Mapping Configuration, NYKO Technologies, Inc.

C:\PROGRAM FILES\TOSHIBA\TOSHIBA APPLET\THOTKEY.EXE -> THotkey.exe, 1.00.0017, , TOSHIBA

C:\PROGRA~1\WEBSHOTS\WEBSHOTS.SCR -> Webshots2.SCR, 2.5.0.5105, Webshots Photo Manager, Webshots.com

C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SSU.EXE -> , , ,

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE -> IEXPLORE.EXE, 7.00.5700.6, Internet Explorer, Microsoft Corporation

C:\DOWNLOADS\SPROCES.EXE -> SProces.EXE, 1, 0, 0, 0, Visualizador de Modulos y Procesos activos, Satinfo S.L.



Llamadas en el Registro de Sistema:

-----------------------------------

F2 - REG:system.ini: Shell=Explorer.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

F3 - REG:win.ini: Load=

- HKCR\exefile: "%1" %*

- HKCR\comfile: "%1" %*

- HKCR\cmdfile: "%1" %*

- HKCR\batfile: "%1" %*

- HKCR\piffile: "%1" %*

- HKCR\scrfile: "%1" /S

O4 - HKLM\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKLM\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKLM\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKLM\..\Run: [EPSON Stylus C83 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4D1.EXE" /P23 "EPSON Stylus C83 Series" /O6 "USB001" /M "Stylus C83"

O4 - HKLM\..\Run: [CTSysVol] "C:\Program Files\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe" /r

O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Downloads\EliStarA.exe

O20- AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

O20- Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20- Winlogon Notify: INTELWIRELESS - C:\PROGRAM FILES\INTEL\WIRELESS\BIN\LGNOTIFY.DLL

O20- Winlogon Notify: WGALOGON - WGALOGON.DLL

O20- Winlogon Notify: WRNOTIFIER - WRLOGONNTF.DLL

O21- ShellServiceObjectDelayLoad: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21- ShellServiceObjectDelayLoad: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21- ShellServiceObjectDelayLoad: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21- ShellServiceObjectDelayLoad: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22- SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\system32\browseui.dll

O22- SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll

O22- SharedTaskScheduler: {553858A7-4922-4e7e-B1C1-97140C1C16EF} - IE Component Categories cache daemon - C:\WINDOWS\system32\ieframe.dll

O22- SharedTaskScheduler: {dfa61db1-388e-4c87-8d56-540fa229bcb4} - contrabandists - C:\WINDOWS\system32\dpfwu.dll

- ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - - shell32.dll



Internet Explorer:

------------------

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O16- DPF: {044123B5-35DF-4C4E-BAED-26B8ED964342} - https://update3.globalhauri.com/Custom/LiveSuite/BANAMEX/web/HLiveRobotWeb.cab

O16- DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16- DPF: {17492023-C23A-453E-A040-C7C580BBF700} - http://go.microsoft.com/fwlink/?linkid=39204

O16- DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16- DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16- DPF: {8731163E-77B9-4F91-9122-F112521C28AF} - http://mmbox.itelcel.com/mmawap/jsp/composer/player/mmsPlayer.cab

O16- DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - http://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab

O16- DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16- DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} - http://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab

O16- DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



Ficheros en la Carpeta de Inicio de Windows:

--------------------------------------------

O4 - Startup: desktop.ini

O4 - Startup: RAMASST.lnk

O4 - Startup: desktop.ini

O4 - Startup: NYKO Gamepad Mapping Tools.lnk

O4 - Startup: Shortcut to THotkey.lnk

O4 - Startup: Webshots.lnk



Llamadas en el WIN.INI y SYSTEM.INI:

------------------------------------



Contenido del CONFIG.SYS:

-------------------------



Contenido del AUTOEXEC.BAT:

---------------------------



Contenido del WINSTART.BAT:

---------------------------



Contenido del HOSTS:

--------------------

O1 - Hosts: # Copyright (c) 1993-1999 Microsoft Corp.

O1 - Hosts: # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

O1 - Hosts: # This file contains the mappings of IP addresses to host names. Each

O1 - Hosts: # entry should be kept on an individual line. The IP address should

O1 - Hosts: # be placed in the first column followed by the corresponding host name.

O1 - Hosts: # The IP address and the host name should be separated by at least one

O1 - Hosts: # space.

O1 - Hosts: # Additionally, comments (such as these) may be inserted on individual

O1 - Hosts: # lines or following the machine name denoted by a '#' symbol.

O1 - Hosts: # For example:

O1 - Hosts: # 102.54.94.97 rhino.acme.com # source server

O1 - Hosts: # 38.25.63.10 x.acme.com # x client host

O1 - Hosts: 127.0.0.1 localhost

[msc hotline sat]

Este SSU.EXE no está firmado, aunque esté en la carpeta del spy sweeper puede ser un intruso.



C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SSU.EXE -> , , ,



Envienos muestra para analizar





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.



Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



APARTE: Tiene instalado el DAP, que es guentre de troyanos. Se aconseja desinstalarlo



A la recepcion de la muestra seguiremos con el Tema



saludos



ms, 16-10-2006

[Mazinger]

Hola... ya envié el archivo solicitado.



Pregunta aparte: utilizo mucho el DAP, es posible sustituirlo por otro acelerador más seguro?? Gracias.



:)

[msc hotline sat]

Pues al revisar el nievo lof y compararlo con el del HJT, vemos que este no ha visualizado una O22 que muy bien podria ser el bicho:



O22- SharedTaskScheduler: {dfa61db1-388e-4c87-8d56-540fa229bcb4} - contrabandists - C:\WINDOWS\system32\dpfwu.dll



repite el envio con esta nueva muestra:



C:\WINDOWS\system32\dpfwu.dll



respoecto al SSU.EXE lo hemos recibido y si bien no tiene descripcion, no parece tener rutinas viricas y se esta monitorizando... Me indican que resulta estar corrupto, razon por la que nos ga saltado la alarma. Mejor reinstale el spy sweeper.



saludos



ms, 16-10-2006

[msc hotline sat]

Parece que vamos por buen camino:


[quote]
DPFWU.DLL

cleanup and remove DPFWU.DLL

(Part of Malware Spyware.VirusBurst)


[/quote]

esperamos la muestra, gracias



ms, 16-10-2006

[msc hotline sat]

nOS ENVIO LA MUESTRA ??



Si es asi pruebe las nuevas versiones que hemos siubido a esta web:



https://foros.zonavirus.com/viewtopic.php?p=70437#70437



oeri nio recuerdo que me lo hayan dicho, claro que pasan unas cuantas cada dia ... :lol:



saludos



ms, 16-10-2006

[Mazinger]

Hola, muchas gracias por todo pero ya pude resolver el problema. Estaba desesperado porque me pasé todo el domingo luchando con ese bicho hasta que encontré en una página la solución. Agradezco su atención al caso.



Por si le interesara, le pongo la página de donde saqué los programas que me solucionaron esto:



[url]http://www.bleepingcomputer.com/forums/topic63896.html[/url]



Gracias de nuevo y saludos!

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 16-10-2006