Doble Infeccion...(SOLUCIONADO)

[Dereksavior]

Llevo 2 dias peleando contra 2 virus que me provocan las ya famosas `` dobles tildes :lol: los virus en si son BIFROSE.LA y FAKE.WGET y e exo de todo intentando vencerlos incluso e pensado en formatear pero yo soy duro de pelar y seguro que me podeis ayudar...graxias por adelantado y xau!!

[msc hotline sat]

Pruebe estas dos utilidades:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 16-10-2006

[Dereksavior]

Primeramente Gracias. aqui estan los resultados...



[b]

Mon Oct 16 11:13:25 2006

EliTriIP v2.60 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PLUGIN1.DAT --> Eliminado

C:\WINDOWS\SYSTEM32\SYSPR.PRX --> Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "startkey"="C:\WINDOWS\system32\servsys.exe"

Entrada Eliminada [HKLM\...\Run] "startkey"="C:\WINDOWS\system32\servsys.exe"



Mon Oct 16 11:20:51 2006

EliTriIP v2.60 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SYSPR.PRX --> Eliminado



Mon Oct 16 11:27:38 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE[/b]



Tras reiniciar antes de que se vieran ni los iconos de MI PC o MIS DOCUMENTOS me a vuelto a saltar el ELITRIIP y me a vuelto a eliminar el BIFROSE tras reiniciar por segunda vez el virus ya no es detectado ni por ELITRIIP ni por el SPYBOT pero las dobles comillas siguen `` graxias de nuevo Xau!



PD:El FAKE.WGET lo e quitado con un archivo .reg que me encontre en un foro extranjero y tampoco lo detecta el SPYBOT pero a lo mejor quedan todavia algunas secuelas por que la doble `` sigue ay dando x saco...

[msc hotline sat]

Las dos utilidades han cumplido, si bien no sabemos la utilidad que tiene eñl REG que nos comenta, copienos su contenido en su proximo post para ver lo que hizo, ya que al intervenir otra utilidad puede ser contraproducente



saludos



ms, 16-10-2006

[Dereksavior]

[b]REGEDIT4



[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wget]

[-HKEY_USERS\S-1-5-21-583907252-764733703-682003330-1003\Software\Wget]

[/b]



Ese es el .REG

[msc hotline sat]

Las claves indicadas en el REG son para el Bifrose y ya estan incluidas en el ELITRIIP actual.



Lo que no veo nada es del ELISTARA por lo que el Fake Alert es posible que no lo conozcamos, si persiste posteenos log del HJT, gracias:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, infornaremos



saludos



ms, 16-10-2006

[Dereksavior]

[b]Logfile of HijackThis v1.99.1

Scan saved at 12:55:47, on 16/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

c:\archiv~1\archiv~1\instal~1\update~1\isuspm.exe

C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\agent.exe

C:\Archivos de programa\eMule\emule.exe

C:\WINDOWS\System32\svchost.exe

C:\hijackthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =



https://login.live.com/ppsecure/sha1auth.srf?lc=3082

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} -



C:\Archivos de programa\Archivos comunes\ReGet Shared\Catcher.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1



\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de



programa\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Archivos de



programa\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef



/Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone



Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe"



runtime -Delay

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe



-startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos



comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06



\bin\jusched.exe

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86



\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos



comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Descargar con &ReGet Deluxe - C:\Archivos de



programa\Archivos comunes\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Descargar todo con &ReGet Deluxe - C:\Archivos de



programa\Archivos comunes\ReGet Shared\CC_All.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1



\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de



programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-



00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1



\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de



programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-



00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -



http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{235212FD-033C-44C5-8828-7BA1530C82B4}:



NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1



\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1



\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos



de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32



\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil



Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil



Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil



Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON



CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -



C:\WINDOWS\system32\ZoneLabs\vsmon.exe



[/b]



Aqui esta todo...Graxias por la ayuda amigos Xau!!

[msc hotline sat]

Es posible que el HJT nmo muestre este FAKE ALERT, ya nos ha pasado otras veces



Mire si tiene este fichero:

[Dereksavior]

[quote="msc hotline sat"]Es posible que el HJT nmo muestre este FAKE ALERT, ya nos ha pasado otras veces



Mire si tiene este fichero:[/quote]

Cual fichero? :shock:

[msc hotline sat]

Es posible que el HJT no muestre este FAKE ALERT, ya nos ha pasado otras veces



Mire si tiene este fichero:



C:\WINDOWS\system32\dpfwu.dll



y si es asi diganoslo y la obrariamos en consecuencia



Es una O22 que no la detecta el HJT:



O22- SharedTaskScheduler: {dfa61db1-388e-4c87-8d56-540fa229bcb4} - contrabandists - C:\WINDOWS\system32\dpfwu.dll



y que genera un FAKEALERT...



saludos



ms 16-10-2006

[Dereksavior]

No esta ese fichero... :?: :?: que hago entonces??

[msc hotline sat]

Lanza el SPROCES.EXE y veamos en O22 si hay algo que no vea el HJT, puede que sea con otro nombre cada variante





SPROCES (en desarrollo)

http://www.zonavirus.com/descargas/sproces.asp



y nos posteas el C:\Sproclog.txt



saludos



ms, 16-10-2006

[Dereksavior]

[b]Mon Oct 16 14:01:09 2006

SProces v2.3 (c)2006 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

------------------

C:\WINDOWS\SYSTEM32\SMSS.EXE -> smss.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Administrador de sesión de Windows NT, Microsoft Corporation

C:\WINDOWS\SYSTEM32\WINLOGON.EXE -> WINLOGON.EXE, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Aplicación de inicio de sesión de Windows NT, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SERVICES.EXE -> services.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Aplicación de servicios y controlador, Microsoft Corporation

C:\WINDOWS\SYSTEM32\LSASS.EXE -> lsass.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), LSA Shell (Export Version), Microsoft Corporation

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE -> ATI2EVXX.EXE, 6.14.10.4131, ATI External Event Utility EXE Module, ATI Technologies Inc.

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\WINDOWS\SYSTEM32\ZONELABS\VSMON.EXE -> vsmon.exe, 6.5.737.000, TrueVector Service, Zone Labs, LLC

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE -> ATI2EVXX.EXE, 6.14.10.4131, ATI External Event Utility EXE Module, ATI Technologies Inc.

C:\WINDOWS\EXPLORER.EXE -> EXPLORER.EXE, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158), Explorador de Windows, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE -> spoolsv.exe, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519), Spooler SubSystem App, Microsoft Corporation

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE -> aswDisp.exe, 5, 0, 0, 0, avast! service GUI component,

C:\ARCHIVOS DE PROGRAMA\ZONE LABS\ZONEALARM\ZLCLIENT.EXE -> zlclient.exe, 6.5.737.000, Zone Labs Client, Zone Labs, LLC

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE -> CLI.exe, 1.11.0.0, CLI Application (Command Line Interface), ATI Technologies Inc.

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INSTALLSHIELD\UPDATESERVICE\ISSCH.EXE -> issch.exe, 3, 10, 100, 1146, InstallShield Update Service Scheduler, InstallShield Software Corporation

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.5.0_06\BIN\JUSCHED.EXE -> jusched.exe, 5.0.60.5, Java(TM) 2 Platform Standard Edition binary, Sun Microsystems, Inc.

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_S10IC2.EXE -> E_S10IC2.EXE, 3.05, EPSON Status Monitor 3, SEIKO EPSON CORPORATION

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE -> , , ,

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE -> aswServ.exe, 4, 7, 889, 0, avast! antivirus service,

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\EPSON\EBAPI\SAGENT2.EXE -> SAgent2.exe, 2, 3, 0, 0, EPSON Printer Status Agent, SEIKO EPSON CORPORATION

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE -> AvMaiSrv.exe, 4, 7, 889, 0, avast! e-Mail Scanner Service, ALWIL Software

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE -> ashWebSv.exe, 4, 7, 889, 0, avast! Web Scanner, ALWIL Software

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE -> CLI.exe, 1.11.0.0, CLI Application (Command Line Interface), ATI Technologies Inc.

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE -> CLI.exe, 1.11.0.0, CLI Application (Command Line Interface), ATI Technologies Inc.

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE -> firefox.exe, 1.8.0.7: 2006090918, Firefox, Mozilla Corporation

C:\DOCUMENTS AND SETTINGS\DUNKAN\ESCRITORIO\SPROCES.EXE -> SProces.EXE, 1, 0, 0, 0, Visualizador de Modulos y Procesos activos, Satinfo S.L.



Llamadas en el Registro de Sistema:

-----------------------------------

F2 - REG:system.ini: Shell=Explorer.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

F3 - REG:win.ini: Load=

- HKCR\exefile: "%1" %*

- HKCR\comfile: "%1" %*

- HKCR\cmdfile: "%1" %*

- HKCR\batfile: "%1" %*

- HKCR\piffile: "%1" %*

- HKCR\scrfile: "%1" /S

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O20- AppInit_DLLs:

O20- Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20- Winlogon Notify: WGALOGON - WGALOGON.DLL

O21- ShellServiceObjectDelayLoad: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21- ShellServiceObjectDelayLoad: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21- ShellServiceObjectDelayLoad: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21- ShellServiceObjectDelayLoad: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22- SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22- SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll

- ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - - shell32.dll



Internet Explorer:

------------------

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&pver=6&ar=msnhome

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Archivos de programa\Archivos comunes\ReGet Shared\Catcher.dll

O2 - BHO: - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Archivos de programa\ReGetDx\iebar.dll

O16- DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16- DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16- DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16- DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16- DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16- DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16- DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17- Servidores DNS: NameServer = 80.58.0.33,80.58.32.97



Ficheros en la Carpeta de Inicio de Windows:

--------------------------------------------

O4 - Startup: Adobe Gamma Loader.lnk

O4 - Startup: desktop.ini

O4 - Startup: desktop.ini



Llamadas en el WIN.INI y SYSTEM.INI:

------------------------------------



Contenido del CONFIG.SYS:

-------------------------



Contenido del AUTOEXEC.BAT:

---------------------------



Contenido del WINSTART.BAT:

---------------------------



Contenido del HOSTS:

--------------------

O1 - Hosts: # Copyright (c) 1993-1999 Microsoft Corp.

O1 - Hosts: #

O1 - Hosts: # Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.

O1 - Hosts: #

O1 - Hosts: # Este archivo contiene las asignaciones de las direcciones IP a los nombres de

O1 - Hosts: # host. Cada entrada debe permanecer en una línea individual. La dirección IP

O1 - Hosts: # debe ponerse en la primera columna, seguida del nombre de host correspondiente.

O1 - Hosts: # La dirección IP y el nombre de host deben separarse con al menos un espacio.

O1 - Hosts: #

O1 - Hosts: #

O1 - Hosts: # También pueden insertarse comentarios (como éste) en líneas individuales

O1 - Hosts: # o a continuación del nombre de equipo indicándolos con el símbolo "#"

O1 - Hosts: #

O1 - Hosts: # Por ejemplo:

O1 - Hosts: #

O1 - Hosts: # 102.54.94.97 rhino.acme.com # servidor origen

O1 - Hosts: # 38.25.63.10 x.acme.com # host cliente x

O1 - Hosts: 127.0.0.1 localhost

[/b]

[Dereksavior]

Como si nada àèìòù y tras un reinicio ya esta arreglado muchisimas gracias por toda la ayuda sois unos cracks :wink: Xau!

[msc hotline sat]

SI pero no., El Bifrose ya lo sabemos, pero estamos buscando el Fake Alert, y estas O21 Y O22 del SPROCESS no las muestra el HJT,



O21- ShellServiceObjectDelayLoad: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll



O21- ShellServiceObjectDelayLoad: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll



O21- ShellServiceObjectDelayLoad: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll



O21- ShellServiceObjectDelayLoad: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll



O22- SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll



O22- SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll

- ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - - shell32.dll



por lo que le pedimos que nos enbuie estos dos ficheros:





C:\WINDOWS\System32\webcheck.dll



C:\WINDOWS\System32\stobject.dll



C:\windows\System32\browseui.dll



C:\windows\System32\shell32.dll



y si resultan ser malwares, implementaremos su control y eliminaicon en el proximo ELISTARA, de lo cual informaremps en el foro, como siempre.



Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.



Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



saludos



ms.16-10-2006

[Dereksavior]

Ya os e enviado el mail todos los archivos van comprimidos en un .RAR y e incluido mi nombre de usuario para que sepais que soy yo :lol: xau!!

[msc hotline sat]

Así debe ser, los miramos a ver si hay suerte :lol:



saludos



ms, 16-10-2006

[msc hotline sat]

Pues las 4 DLL ultimas no han resultado ser viricas.



A veces somos mas papistas que el Papa :lol:



Ya sin nada mas que eliminar, damos este Tema por solucionado y procedemos a cerrarlo



Si nos necesita de nuevo , ya sabe donde estamos



saludos



ms, 16-10-2006