troyano indestructible. Ayuda por favor

[gelvlc]

Saludos.

Se me introdujo un troyano que me muestra un icono en la barra de tareas y me es imposible eliminarlo.

Le he pasado el avg antivirus,el spybot, el sin-espias, el elistara y el elitriip sin fortuna. Pasandolos también en modo a prueba de errores en windows xp.

Les remito el archivo de informe del elistara.

Espero respuestas por favor.

Gracias de antemano.

[msc hotline sat]

Los logs deben postearse copiando su contenido, no agregandose ya que pierden su estructura:


[quote]Tue Nov 14 11:19:35 2006 EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L. -------------------------------------------------- Lista de Acciones (por Acción Directa): [WinLogon\Notify\FCCYWUV] Por favor, envienos una muestra del fichero C:\WinLogon\FCCYWUV.DLL a "virus@satinfo.es". Gracias. [WinLogon\Notify\WINHOO32] Por favor, envienos una muestra del fichero C:\WinLogon\WINHOO32.DLL a "virus@satinfo.es". Gracias. Por favor, envienos una muestra del fichero C:\Muestras\ISNOTIFY.EXE.Muestra EliStartPage v12.70 a "virus@satinfo.es". Gracias. C:\WINDOWS\SYSTEM32\ISNOTIFY.EXE --> Acceso Denegado. C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Eliminado Puper Por favor, envienos una muestra del fichero C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.70 a "virus@satinfo.es". Gracias. C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado C:\WINDOWS\SYSTEM32\ISSEARCH.EXE --> Eliminado Puper-Is Por favor, envienos una muestra del fichero C:\Muestras\IXT0.DLL.Muestra EliStartPage v12.70 a "virus@satinfo.es". Gracias. C:\WINDOWS\SYSTEM32\IXT0.DLL --> Eliminado Por favor, envienos una muestra del fichero C:\Muestras\IXT1.DLL.Muestra EliStartPage v12.70 a "virus@satinfo.es". Gracias. C:\WINDOWS\SYSTEM32\IXT1.DLL --> Eliminado Por favor, envienos una muestra del fichero C:\Muestras\IXT2.DLL.Muestra EliStartPage v12.70 a "virus@satinfo.es". Gracias. C:\WINDOWS\SYSTEM32\IXT2.DLL --> Eliminado C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario). C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario). Entrada Eliminada [HKLM\...\Run] "msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1 Eliminada Class, "{39F25B12-74FF-4079-A51F-1D70F5B08B84}" -> C:\WINDOWS\system32\ixt2.dll Eliminadas las Paginas de Inicio y de Busqueda del IE Eliminados Ficheros Temporales del IE Tue Nov 14 11:30:21 2006 EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L. -------------------------------------------------- Lista de Acciones (por Acción Directa): [WinLogon\Notify\FCCYWUV] Por favor, envienos una muestra del fichero C:\WinLogon\FCCYWUV.DLL a "virus@satinfo.es". Gracias. [WinLogon\Notify\WINHOO32] Por favor, envienos una muestra del fichero C:\WinLogon\WINHOO32.DLL a "virus@satinfo.es". Gracias. Por favor, envienos una muestra del fichero C:\Muestras\ISNOTIFY.EXE.Muestra EliStartPage v12.70 a "virus@satinfo.es". Gracias. C:\WINDOWS\SYSTEM32\ISNOTIFY.EXE --> Eliminado Por favor, envienos una muestra del fichero C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.70 a "virus@satinfo.es". Gracias. C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Eliminado Eliminadas las Paginas de Inicio y de Busqueda del IE Eliminados Ficheros Temporales del IE Tue Nov 14 11:47:19 2006 EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L. -------------------------------------------------- Lista de Acciones (por Acción Directa): [WinLogon\Notify\FCCYWUV] Por favor, envienos una muestra del fichero C:\WinLogon\FCCYWUV.DLL a "virus@satinfo.es". Gracias. [WinLogon\Notify\WINHOO32] Por favor, envienos una muestra del fichero C:\WinLogon\WINHOO32.DLL a "virus@satinfo.es". Gracias. Eliminadas las Paginas de Inicio y de Busqueda del IE Eliminados Ficheros Temporales del IE Tue Nov 14 11:52:12 2006 EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L. -------------------------------------------------- Lista de Acciones (por Exploración): C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible Tue Nov 14 13:02:59 2006 EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L. -------------------------------------------------- Lista de Acciones (por Acción Directa): [WinLogon\Notify\FCCYWUV] Por favor, envienos una muestra del fichero C:\WinLogon\FCCYWUV.DLL a "virus@satinfo.es". Gracias. [WinLogon\Notify\WINHOO32] Por favor, envienos una muestra del fichero C:\WinLogon\WINHOO32.DLL a "virus@satinfo.es". Gracias. Eliminadas las Paginas de Inicio y de Busqueda del IE Eliminados Ficheros Temporales del IE Tue Nov 14 13:05:33 2006 EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L. -------------------------------------------------- Lista de Acciones (por Exploración): C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible Tue Nov 14 13:09:09 2006 EliTriIP v2.76 (c)2006 S.G.H. / Satinfo S.L. --------------------------------------------- Lista de Acciones (por Exploración): C:\Archivos de programa\Macromedia\Dreamweaver 8\Configuration\JSExtensions\SSITranslator.dll --> Eliminado, BackDoor.CMQ (dropper) Tue Nov 14 13:43:23 2006 EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L. -------------------------------------------------- Lista de Acciones (por Acción Directa): [WinLogon\Notify\BYXUVTU] Por favor, envienos una muestra del fichero C:\WinLogon\BYXUVTU.DLL a "virus@satinfo.es". Gracias. [WinLogon\Notify\WINHOO32] Por favor, envienos una muestra del fichero C:\WinLogon\WINHOO32.DLL a "virus@satinfo.es". Gracias. Por favor, envienos una muestra del fichero C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.70 a "virus@satinfo.es". Gracias. C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Eliminado Por favor, envienos una muestra del fichero C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.70 a "virus@satinfo.es". Gracias. C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado Eliminadas las Paginas de Inicio y de Busqueda del IE Eliminados Ficheros Temporales del IE Tue Nov 14 13:53:24 2006 EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L. -------------------------------------------------- Lista de Acciones (por Exploración): C:\Archivos de programa\VSAdd-in\VSADD-IN.DLL --> Eliminado, VSAddinDLL (TB) C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza) [/quote]

De todas formas se adivina que pide muestras, recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



En cualquier caso, postee el contenido del infosat en su proximo post, aparte de enviarnos las muestras pedidas



saludos



ms, 14-11-2006

[gelvlc]

Gracias por responder tan pronto.

Pero me dirijí al enlace del foro sobre la entrega de muestras y lamento decir que no entiendo que debo hacer.

Agradecería una pequeña explicacion.

Saludos.

[msc hotline sat]

Pues anexarlas a un mail dirigido a zonavirus@satinfo.es en el que como referencia indiques tu nick en el foro.



saludos



ms, 14-11-2006



nota: y peganos el contenido del infosat.txt en tu proximo post !!!

[gelvlc]

Aquí os remito el ultimo log del infosat.





Tue Nov 14 11:19:35 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\FCCYWUV]

Por favor, envienos una muestra del fichero

C:\WinLogon\FCCYWUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ISNOTIFY.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISNOTIFY.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Eliminado Puper

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\ISSEARCH.EXE --> Eliminado Puper-Is

Por favor, envienos una muestra del fichero

C:\Muestras\IXT0.DLL.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IXT0.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\IXT1.DLL.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IXT1.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\IXT2.DLL.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IXT2.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminada Class, "{39F25B12-74FF-4079-A51F-1D70F5B08B84}" -> C:\WINDOWS\system32\ixt2.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 11:30:21 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\FCCYWUV]

Por favor, envienos una muestra del fichero

C:\WinLogon\FCCYWUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ISNOTIFY.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISNOTIFY.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 11:47:19 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\FCCYWUV]

Por favor, envienos una muestra del fichero

C:\WinLogon\FCCYWUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 11:52:12 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible



Tue Nov 14 13:02:59 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\FCCYWUV]

Por favor, envienos una muestra del fichero

C:\WinLogon\FCCYWUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 13:05:33 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible



Tue Nov 14 13:09:09 2006

EliTriIP v2.76 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Macromedia\Dreamweaver 8\Configuration\JSExtensions\SSITranslator.dll --> Eliminado, BackDoor.CMQ (dropper)



Tue Nov 14 13:43:23 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUVTU]

Por favor, envienos una muestra del fichero

C:\WinLogon\BYXUVTU.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 13:53:24 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\VSAdd-in\VSADD-IN.DLL --> Eliminado, VSAddinDLL (TB)

C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Tue Nov 14 20:23:31 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUVTU]

Por favor, envienos una muestra del fichero

C:\WinLogon\BYXUVTU.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 20:24:56 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\ewido\security suite\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible

C:\Documents and Settings\Raul-\Mis documentos\Programas\antivirus\EWIDO-SETUP.EXE --> AutoExtraible

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.6.11.09 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

C:\WINDOWS\SYSTEM32\PMNLJ.DLL -> Eliminado.

Elininada KEY "Winlogon\Notify\pmnlj"

Elininado BHO: "{85172CA9-17DC-4C1B-B1CA-20CDCACC182D}"

Elininada Class: "{85172CA9-17DC-4C1B-B1CA-20CDCACC182D}"

Detectado Vundo

Elininada KEY "Winlogon\Notify\vtsqp"

Elininado BHO: "{62D2255F-126D-40F8-B1B5-D2F5EA189A40}"

Elininada Class: "{62D2255F-126D-40F8-B1B5-D2F5EA189A40}"

Desinstalado EliNotif.dll



Tue Nov 14 20:32:37 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Eliminados Ficheros Temporales del IE

----------------------------------------------------------------

Aparte os muestro una imagen del icono de la barra de tareas:

[gelvlc]

Está noche les enviaré las muestras por email.

Gracias por todo.

[msc hotline sat]

Ya disponible v 12.71 del ELISTARA, Piefes porobarla ...



Tiene nuevo proceso heuristico para los FAKE ALERTS



Tras reiniciar posteanos nuevo infosat.txt, gracias



saludos



ms, 14-11-2006

[gelvlc]

Aquí os remito el último log del elistara actualizado:



Tue Nov 14 11:19:35 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\FCCYWUV]

Por favor, envienos una muestra del fichero

C:\WinLogon\FCCYWUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ISNOTIFY.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISNOTIFY.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Eliminado Puper

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\ISSEARCH.EXE --> Eliminado Puper-Is

Por favor, envienos una muestra del fichero

C:\Muestras\IXT0.DLL.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IXT0.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\IXT1.DLL.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IXT1.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\IXT2.DLL.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IXT2.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminada Class, "{39F25B12-74FF-4079-A51F-1D70F5B08B84}" -> C:\WINDOWS\system32\ixt2.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 11:30:21 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\FCCYWUV]

Por favor, envienos una muestra del fichero

C:\WinLogon\FCCYWUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ISNOTIFY.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISNOTIFY.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 11:47:19 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\FCCYWUV]

Por favor, envienos una muestra del fichero

C:\WinLogon\FCCYWUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 11:52:12 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible



Tue Nov 14 13:02:59 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\FCCYWUV]

Por favor, envienos una muestra del fichero

C:\WinLogon\FCCYWUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 13:05:33 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible



Tue Nov 14 13:09:09 2006

EliTriIP v2.76 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Macromedia\Dreamweaver 8\Configuration\JSExtensions\SSITranslator.dll --> Eliminado, BackDoor.CMQ (dropper)



Tue Nov 14 13:43:23 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUVTU]

Por favor, envienos una muestra del fichero

C:\WinLogon\BYXUVTU.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 13:53:24 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\VSAdd-in\VSADD-IN.DLL --> Eliminado, VSAddinDLL (TB)

C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Tue Nov 14 20:23:31 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUVTU]

Por favor, envienos una muestra del fichero

C:\WinLogon\BYXUVTU.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 20:24:56 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\ewido\security suite\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible

C:\Documents and Settings\Raul-\Mis documentos\Programas\antivirus\EWIDO-SETUP.EXE --> AutoExtraible

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.6.11.09 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

C:\WINDOWS\SYSTEM32\PMNLJ.DLL -> Eliminado.

Elininada KEY "Winlogon\Notify\pmnlj"

Elininado BHO: "{85172CA9-17DC-4C1B-B1CA-20CDCACC182D}"

Elininada Class: "{85172CA9-17DC-4C1B-B1CA-20CDCACC182D}"

Detectado Vundo

Elininada KEY "Winlogon\Notify\vtsqp"

Elininado BHO: "{62D2255F-126D-40F8-B1B5-D2F5EA189A40}"

Elininada Class: "{62D2255F-126D-40F8-B1B5-D2F5EA189A40}"

Desinstalado EliNotif.dll



Tue Nov 14 20:32:37 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Eliminados Ficheros Temporales del IE



Wed Nov 15 10:23:49 2006

EliStartPage v12.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LJJJKIJ] -> C:\WINDOWS\SYSTEM32\LJJJKIJ.DLL

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.71

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado Puper-Is

C:\WINDOWS\SYSTEM32\LJJJKIJ.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\LJJJKIJ.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Eliminada Class, "{CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030}" -> C:\WINDOWS\system32\ljjjkij.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Nov 15 10:25:26 2006

EliStartPage v12.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\ewido\security suite\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible

C:\Documents and Settings\Raul-\Mis documentos\Programas\antivirus\EWIDO-SETUP.EXE --> AutoExtraible

C:\Muestras\ISHOST.EXE.MUESTRA ELISTARTPAGE V12.70 --> Eliminado, Puper

C:\Muestras\ISMINI.EXE.MUESTRA ELISTARTPAGE V12.70 --> Eliminado, Puper-Is

C:\WINDOWS\system32\BYXUVTU.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WINDOWS\system32\CBXYWUU.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WINDOWS\system32\CFLTYGD.DLL --> Eliminado, FakeAlert

C:\WINDOWS\system32\FCCYWUV.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WINDOWS\system32\HGGGHIH.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WINDOWS\system32\MLJIGFD.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WINDOWS\system32\QPVIF.DLL --> Eliminado, ClickSpring (BHO)

C:\WinLogon\BYXUVTU.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WinLogon\FCCYWUV.DLL --> Eliminado, DownLoader.ConHook (notify)

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.6.11.09 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Desinstalado EliNotif.dll



Wed Nov 15 10:34:15 2006

EliStartPage v12.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LJJJKIJ] -> C:\WINDOWS\SYSTEM32\LJJJKIJ.DLL

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\LJJJKIJ.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\LJJJKIJ.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Eliminada Class, "{CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030}" -> C:\WINDOWS\system32\ljjjkij.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"

------------------------------------------------------------

------------------------------------------------------------

[msc hotline sat]

Pues aparte de las muestras pedidas anterioremente, añade esta:





Por favor, envienos una muestra del fichero

C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.71





Y ¡fijarse que hemos detectado otro malware:



C:\WINDOWS\SYSTEM32\LJJJKIJ.DLL --> DownLoader.ConHook (notify)



pero para su eliminacion debe copiarse en la misma carpeta del ELISTARA, el nueboi ELINOTIF de ayer, y tras lanzar el ELISTARA, reiniciar para completar la eliminacion:





ELINOTIF



---v1.6.11.14---(14 de Noviembre del 2006) (para el DownLoader.ConHook)



descarga:





ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



saludos



ms, 15-11-2006

[gelvlc]

Lo siento pero en estos momentos me es imposible mandar la muestra "ISHOST.EXE.Muestra EliStartPage v12.71". Aunque anoche lo envié desde una cuenta de jazztel. Quizás mi antivirus lo elimino antes de enviarlo?

Y de nuevo os vuelvo a remitir el log del elistara y un nuevo log del hijackthis:

(Gracias por todo.)

------------------------------------------------------------



Tue Nov 14 11:19:35 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\FCCYWUV]

Por favor, envienos una muestra del fichero

C:\WinLogon\FCCYWUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ISNOTIFY.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISNOTIFY.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Eliminado Puper

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\ISSEARCH.EXE --> Eliminado Puper-Is

Por favor, envienos una muestra del fichero

C:\Muestras\IXT0.DLL.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IXT0.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\IXT1.DLL.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IXT1.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\IXT2.DLL.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IXT2.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminada Class, "{39F25B12-74FF-4079-A51F-1D70F5B08B84}" -> C:\WINDOWS\system32\ixt2.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 11:30:21 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\FCCYWUV]

Por favor, envienos una muestra del fichero

C:\WinLogon\FCCYWUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ISNOTIFY.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISNOTIFY.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 11:47:19 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\FCCYWUV]

Por favor, envienos una muestra del fichero

C:\WinLogon\FCCYWUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 11:52:12 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible



Tue Nov 14 13:02:59 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\FCCYWUV]

Por favor, envienos una muestra del fichero

C:\WinLogon\FCCYWUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 13:05:33 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible



Tue Nov 14 13:09:09 2006

EliTriIP v2.76 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Macromedia\Dreamweaver 8\Configuration\JSExtensions\SSITranslator.dll --> Eliminado, BackDoor.CMQ (dropper)



Tue Nov 14 13:43:23 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUVTU]

Por favor, envienos una muestra del fichero

C:\WinLogon\BYXUVTU.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 13:53:24 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\VSAdd-in\VSADD-IN.DLL --> Eliminado, VSAddinDLL (TB)

C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Tue Nov 14 20:23:31 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUVTU]

Por favor, envienos una muestra del fichero

C:\WinLogon\BYXUVTU.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 14 20:24:56 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\ewido\security suite\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible

C:\Documents and Settings\Raul-\Mis documentos\Programas\antivirus\EWIDO-SETUP.EXE --> AutoExtraible

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.6.11.09 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

C:\WINDOWS\SYSTEM32\PMNLJ.DLL -> Eliminado.

Elininada KEY "Winlogon\Notify\pmnlj"

Elininado BHO: "{85172CA9-17DC-4C1B-B1CA-20CDCACC182D}"

Elininada Class: "{85172CA9-17DC-4C1B-B1CA-20CDCACC182D}"

Detectado Vundo

Elininada KEY "Winlogon\Notify\vtsqp"

Elininado BHO: "{62D2255F-126D-40F8-B1B5-D2F5EA189A40}"

Elininada Class: "{62D2255F-126D-40F8-B1B5-D2F5EA189A40}"

Desinstalado EliNotif.dll



Tue Nov 14 20:32:37 2006

EliStartPage v12.70 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Eliminados Ficheros Temporales del IE



Wed Nov 15 10:23:49 2006

EliStartPage v12.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LJJJKIJ] -> C:\WINDOWS\SYSTEM32\LJJJKIJ.DLL

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.71

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado Puper-Is

C:\WINDOWS\SYSTEM32\LJJJKIJ.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\LJJJKIJ.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Eliminada Class, "{CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030}" -> C:\WINDOWS\system32\ljjjkij.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Nov 15 10:25:26 2006

EliStartPage v12.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\ewido\security suite\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible

C:\Documents and Settings\Raul-\Mis documentos\Programas\antivirus\EWIDO-SETUP.EXE --> AutoExtraible

C:\Muestras\ISHOST.EXE.MUESTRA ELISTARTPAGE V12.70 --> Eliminado, Puper

C:\Muestras\ISMINI.EXE.MUESTRA ELISTARTPAGE V12.70 --> Eliminado, Puper-Is

C:\WINDOWS\system32\BYXUVTU.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WINDOWS\system32\CBXYWUU.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WINDOWS\system32\CFLTYGD.DLL --> Eliminado, FakeAlert

C:\WINDOWS\system32\FCCYWUV.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WINDOWS\system32\HGGGHIH.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WINDOWS\system32\MLJIGFD.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WINDOWS\system32\QPVIF.DLL --> Eliminado, ClickSpring (BHO)

C:\WinLogon\BYXUVTU.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WinLogon\FCCYWUV.DLL --> Eliminado, DownLoader.ConHook (notify)

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.6.11.09 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Desinstalado EliNotif.dll



Wed Nov 15 10:34:15 2006

EliStartPage v12.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LJJJKIJ] -> C:\WINDOWS\SYSTEM32\LJJJKIJ.DLL

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\LJJJKIJ.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\LJJJKIJ.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Eliminada Class, "{CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030}" -> C:\WINDOWS\system32\ljjjkij.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.6.11.14 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\ljjjkij"

Elininada Class {CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030}

C:\WINDOWS\system32\ljjjkij.dll -> Eliminado.

Desinstalado EliNotif.dll



Wed Nov 15 11:24:19 2006

EliStartPage v12.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINHOO32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINHOO32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Nov 15 11:26:52 2006

EliStartPage v12.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\ewido\security suite\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Raul-\Escritorio\WORLDUNLOCK_V43_SETUP.EXE --> AutoExtraible

C:\Documents and Settings\Raul-\Mis documentos\Programas\antivirus\EWIDO-SETUP.EXE --> AutoExtraible

C:\WINDOWS\system32\AWTUVWV.DLL.VIR --> Eliminado, DownLoader.ConHook (notify)

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 11:40:34, on 15/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\ZoneLabs\isafe.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\ewido\security suite\ewidoguard.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Archivos comunes\{809B8B7A-0AFD-3082-0316-040312270022}\Update.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\SpyBro\SpyBro.exe

C:\Documents and Settings\Raul-\Mis documentos\??pPatch\?ttrib.exe

C:\Documents and Settings\Raul-\Mis documentos\Programas\antivirus\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {542354DB-E7AD-E398-263D-08713D0268E1} - C:\WINDOWS\system32\bnhmkjg.dll

O2 - BHO: (no name) - {6B1CD7F4-4558-2D9E-3491-074234E796FF} - C:\WINDOWS\system32\ilkefqc.dll

O2 - BHO: (no name) - {6F23A932-62A0-CDDD-A779-08CCC83546E2} - C:\WINDOWS\system32\infldrb.dll

O2 - BHO: (no name) - {75B376CE-947D-C8DE-2A57-B6CE6EBCB6CF} - C:\WINDOWS\system32\qpvif.dll (file missing)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O2 - BHO: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Archivos de programa\Archivos comunes\{309B8B7A-0AFD-3082-0316-040312270022}\MyToolBar.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Archivos de programa\Archivos comunes\{309B8B7A-0AFD-3082-0316-040312270022}\MyToolBar.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=112106 serial=dr12cnc-8301292-wbn lang=ES

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvsop.dll,startup

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKCU\..\Run: [Oasu] "C:\WINDOWS\CROSOF~1\mmc.exe" -vt yazb

O4 - HKCU\..\Run: [Tuh] C:\Documents and Settings\Raul-\Mis documentos\??pPatch\?ttrib.exe

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/229?1f97930d58804de0ba9f718a88ad4cbf

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/230?1f97930d58804de0ba9f718a88ad4cbf

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_02\bin\npjpi141_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_02\bin\npjpi141_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0855F5B9-11CF-4264-BE04-D13E202692F2}: NameServer = 212.145.4.97,212.145.4.98

O17 - HKLM\System\CS1\Services\Tcpip\..\{0855F5B9-11CF-4264-BE04-D13E202692F2}: NameServer = 212.145.4.97,212.145.4.98

O17 - HKLM\System\CS2\Services\Tcpip\..\{0855F5B9-11CF-4264-BE04-D13E202692F2}: NameServer = 212.145.4.97,212.145.4.98

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: winhoo32 - C:\WINDOWS\SYSTEM32\winhoo32.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



-------------------------------------------------------------

[gelvlc]

También os añado el log del Ad-ware SE:



Ad-Aware SE Build 1.06r1

Logfile Created on:miércoles, 15 de noviembre de 2006 12:32:04

Created with Ad-Aware SE Personal, free for private use.

Using definitions file:SE1R132 14-11-2006

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»



References detected during the scan:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Adware.MyToolbar(TAC index:3):2 total references

Adware.Searchcolours(TAC index:4):1 total references

MRU List(TAC index:0):31 total references

Other(TAC index:5):1 total references

Softomate Toolbar(TAC index:9):5 total references

Win32.TrojanDownloader.Agent(TAC index:10):3 total references

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»



Ad-Aware SE Settings

===========================

Set : Search for negligible risk entries

Set : Safe mode (always request confirmation)

Set : Scan active processes

Set : Scan registry

Set : Deep-scan registry

Set : Scan my IE Favorites for banned URLs

Set : Scan my Hosts file



Extended Ad-Aware SE Settings

===========================

Set : Unload recognized processes & modules during scan

Set : Scan registry for all users instead of current user only

Set : Always try to unload modules before deletion

Set : During removal, unload Explorer and IE if necessary

Set : Let Windows remove files in use at next reboot

Set : Delete quarantined objects after restoring

Set : Include basic Ad-Aware settings in log file

Set : Include additional Ad-Aware settings in log file

Set : Include reference summary in log file

Set : Include alternate data stream details in log file

Set : Play sound at scan completion if scan locates critical objects





15-11-2006 12:32:04 - Scan started. (Full System Scan)



MRU List Object Recognized!

Location: : C:\Documents and Settings\Raul-\Datos de programa\microsoft\office\recent

Description : list of recently opened documents using microsoft office





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\adobe\acrobat reader\5.0\avgeneral\crecentfiles

Description : list of recently used files in adobe reader





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\ahead\nero - burning rom\recent file list

Description : list of recently used files in nero burning rom





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct3d





MRU List Object Recognized!

Location: : software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct3d





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct X





MRU List Object Recognized!

Location: : software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct X





MRU List Object Recognized!

Location: : software\microsoft\directdraw\mostrecentapplication

Description : most recent application to use microsoft directdraw





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\directinput\mostrecentapplication

Description : most recent application to use microsoft directinput





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\directinput\mostrecentapplication

Description : most recent application to use microsoft directinput





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\internet explorer

Description : last download directory used in microsoft internet explorer





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\internet explorer\main

Description : last save directory used in microsoft internet explorer





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\internet explorer\typedurls

Description : list of recently entered addresses in microsoft internet explorer





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\mediaplayer\medialibraryui

Description : last selected node in the microsoft windows media player media library





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\mediaplayer\player\recentfilelist

Description : list of recently used files in microsoft windows media player





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\mediaplayer\preferences

Description : last playlist index loaded in microsoft windows media player





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\mediaplayer\preferences

Description : last playlist loaded in microsoft windows media player





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\office\10.0\excel\recent files

Description : list of recent files used by microsoft excel





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\office\10.0\powerpoint\recent file list

Description : list of recent files used by microsoft powerpoint





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\search assistant\acmru

Description : list of recent search terms used with the search assistant





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\windows\currentversion\applets\paint\recent file list

Description : list of files recently opened using microsoft paint





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\windows\currentversion\applets\regedit

Description : last key accessed using the microsoft registry editor





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\windows\currentversion\applets\wordpad\recent file list

Description : list of recent files opened using wordpad





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru

Description : list of recent programs opened





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru

Description : list of recently saved files, stored according to file extension





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\windows\currentversion\explorer\recentdocs

Description : list of recent documents opened





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\windows\currentversion\explorer\runmru

Description : mru list for items opened in start | run





MRU List Object Recognized!

Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general

Description : windows media sdk





MRU List Object Recognized!

Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general

Description : windows media sdk





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\microsoft\windows media\wmsdk\general

Description : windows media sdk





MRU List Object Recognized!

Location: : S-1-5-21-1614895754-117609710-725345543-1003\software\winrar\dialogedithistory\extrpath

Description : winrar "extract-to" history





Listing running processes

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»



#:1 [smss.exe]

FilePath : \SystemRoot\System32\

ProcessID : 744

ThreadCreationTime : 15-11-2006 11:24:49

BasePriority : Normal





#:2 [csrss.exe]

FilePath : \??\C:\WINDOWS\system32\

ProcessID : 792

ThreadCreationTime : 15-11-2006 11:24:51

BasePriority : Normal





#:3 [winlogon.exe]

FilePath : \??\C:\WINDOWS\system32\

ProcessID : 816

ThreadCreationTime : 15-11-2006 11:24:52

BasePriority : High





#:4 [services.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 860

ThreadCreationTime : 15-11-2006 11:24:52

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Sistema operativo Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Aplicación de servicios y controlador

InternalName : services.exe

LegalCopyright : Copyright (C) Microsoft Corporation. Reservados todos los derechos.

OriginalFilename : services.exe



#:5 [lsass.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 872

ThreadCreationTime : 15-11-2006 11:24:52

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : LSA Shell (Export Version)

InternalName : lsass.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : lsass.exe



#:6 [ati2evxx.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1032

ThreadCreationTime : 15-11-2006 11:24:53

BasePriority : Normal





#:7 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1048

ThreadCreationTime : 15-11-2006 11:24:53

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe



#:8 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1120

ThreadCreationTime : 15-11-2006 11:24:54

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe



#:9 [svchost.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 1272

ThreadCreationTime : 15-11-2006 11:24:55

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe



#:10 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1412

ThreadCreationTime : 15-11-2006 11:24:55

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe



#:11 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1512

ThreadCreationTime : 15-11-2006 11:24:56

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe



#:12 [spoolsv.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1632

ThreadCreationTime : 15-11-2006 11:24:57

BasePriority : Normal

FileVersion : 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)

ProductVersion : 5.1.2600.2696

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Spooler SubSystem App

InternalName : spoolsv.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : spoolsv.exe



#:13 [ati2evxx.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1944

ThreadCreationTime : 15-11-2006 11:25:01

BasePriority : Normal





#:14 [explorer.exe]

FilePath : C:\WINDOWS\

ProcessID : 2008

ThreadCreationTime : 15-11-2006 11:25:03

BasePriority : Normal

FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 6.00.2900.2180

ProductName : Sistema operativo Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Explorador de Windows

InternalName : explorer

LegalCopyright : © Microsoft Corporation. Reservados todos los derechos.

OriginalFilename : EXPLORER.EXE



#:15 [avgamsvr.exe]

FilePath : C:\ARCHIV~1\Grisoft\AVGFRE~1\

ProcessID : 212

ThreadCreationTime : 15-11-2006 11:25:03

BasePriority : Normal

FileVersion : 7,1,0,365

ProductVersion : 7.1.0.365

ProductName : AVG Anti-Virus System

CompanyName : GRISOFT, s.r.o.

FileDescription : AVG Alert Manager

InternalName : avgamsvr

LegalCopyright : Copyright © 2005, GRISOFT, s.r.o.

OriginalFilename : avgamsvr.EXE



#:16 [avgupsvc.exe]

FilePath : C:\ARCHIV~1\Grisoft\AVGFRE~1\

ProcessID : 236

ThreadCreationTime : 15-11-2006 11:25:04

BasePriority : Normal

FileVersion : 7,1,0,349

ProductVersion : 7.1.0.349

ProductName : AVG 7.0 Anti-Virus System

CompanyName : GRISOFT, s.r.o.

FileDescription : AVG Update Service

InternalName : avgupsvc

LegalCopyright : Copyright © 2005, GRISOFT, s.r.o.

OriginalFilename : avgupdsvc.EXE



#:17 [avgemc.exe]

FilePath : C:\ARCHIV~1\Grisoft\AVGFRE~1\

ProcessID : 312

ThreadCreationTime : 15-11-2006 11:25:05

BasePriority : Normal

FileVersion : 7,1,0,400

ProductVersion : 7.1.0.400

ProductName : AVG Anti-Virus System

CompanyName : GRISOFT, s.r.o.

FileDescription : AVG E-Mail Scanner

InternalName : avgemc

LegalCopyright : Copyright © 2006, GRISOFT, s.r.o.

OriginalFilename : avgemc.exe



#:18 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 336

ThreadCreationTime : 15-11-2006 11:25:06

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe



#:19 [isafe.exe]

FilePath : C:\WINDOWS\system32\ZoneLabs\

ProcessID : 412

ThreadCreationTime : 15-11-2006 11:25:06

BasePriority : Normal

FileVersion : Version 10.67.0.0

ProductVersion : Version 10.67.0.0

ProductName : ISafe

CompanyName : Computer Associates International, Inc.

FileDescription : ISafe Service

InternalName : ISafe

LegalCopyright : © 2003 Computer Associates International, Inc.

LegalTrademarks : Vet is a trademark of Computer Associates International, Inc.

OriginalFilename : ISafe.exe

Comments : ISafe



#:20 [ewidoctrl.exe]

FilePath : C:\Archivos de programa\ewido\security suite\

ProcessID : 460

ThreadCreationTime : 15-11-2006 11:25:06

BasePriority : Normal

FileVersion : 3, 0, 0, 1

ProductVersion : 3, 0, 0, 1

ProductName : ewido control

CompanyName : ewido networks

FileDescription : ewido control

InternalName : ewido control

LegalCopyright : Copyright © 2004

OriginalFilename : ewidoctrl.exe



#:21 [ewidoguard.exe]

FilePath : C:\Archivos de programa\ewido\security suite\

ProcessID : 496

ThreadCreationTime : 15-11-2006 11:25:07

BasePriority : Normal

FileVersion : 3, 0, 0, 1

ProductVersion : 3, 0, 0, 1

ProductName : guard

CompanyName : ewido networks

FileDescription : guard

InternalName : guard

LegalCopyright : Copyright © 2004

OriginalFilename : guard.exe



#:22 [wdfmgr.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 740

ThreadCreationTime : 15-11-2006 11:25:07

BasePriority : Normal

FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act)

ProductVersion : 5.2.3790.1230

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Windows User Mode Driver Manager

InternalName : WdfMgr

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : WdfMgr.exe



#:23 [vsmon.exe]

FilePath : C:\WINDOWS\system32\ZoneLabs\

ProcessID : 1108

ThreadCreationTime : 15-11-2006 11:25:07

BasePriority : Normal

FileVersion : 6.0.667.000

ProductVersion : 6.0.667.000

ProductName : TrueVector Service

CompanyName : Zone Labs, LLC

FileDescription : TrueVector Service

InternalName : vsmon

LegalCopyright : Copyright © 1998-2005, Zone Labs, LLC

OriginalFilename : vsmon.exe



#:24 [soundman.exe]

FilePath : C:\WINDOWS\

ProcessID : 1356

ThreadCreationTime : 15-11-2006 11:25:08

BasePriority : Normal

FileVersion : 5.1.0.19

ProductVersion : 5.1.0.19

ProductName : Realtek Sound Manager

CompanyName : Realtek Semiconductor Corp.

FileDescription : Realtek Sound Manager

InternalName : ALSMTray

LegalCopyright : Copyright (c) 2001-2003 Realtek Semiconductor Corp.

OriginalFilename : ALSMTray.exe

Comments : Realtek AC97 Audio Sound Manager



#:25 [atiptaxx.exe]

FilePath : C:\Archivos de programa\ATI Technologies\ATI Control Panel\

ProcessID : 1364

ThreadCreationTime : 15-11-2006 11:25:08

BasePriority : Normal

FileVersion : 6.14.10.5071

ProductVersion : 6.14.10.5071

ProductName : ATI Desktop Component

CompanyName : ATI Technologies, Inc.

FileDescription : ATI Desktop Control Panel

InternalName : Atiptaxx.exe

LegalCopyright : Copyright (C) 1998-2002 ATI Technologies Inc.

OriginalFilename : Atiptaxx.exe



#:26 [avgcc.exe]

FilePath : C:\ARCHIV~1\Grisoft\AVGFRE~1\

ProcessID : 1376

ThreadCreationTime : 15-11-2006 11:25:08

BasePriority : Normal

FileVersion : 7,1,0,406

ProductVersion : 7.1.0.406

ProductName : AVG Anti-Virus System

CompanyName : GRISOFT, s.r.o.

FileDescription : AVG Control Center

InternalName : AvgCC

LegalCopyright : Copyright © 2006, GRISOFT, s.r.o.

OriginalFilename : AvgCC.EXE



#:27 [qttask.exe]

FilePath : C:\Archivos de programa\QuickTime\

ProcessID : 1408

ThreadCreationTime : 15-11-2006 11:25:09

BasePriority : Normal

FileVersion : 6.3

ProductVersion : QuickTime 6.3

ProductName : QuickTime

CompanyName : Apple Computer, Inc.

InternalName : QuickTime Task

LegalCopyright : © Apple Computer, Inc. 2001-2003

OriginalFilename : QTTask.exe



#:28 [rundll32.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1424

ThreadCreationTime : 15-11-2006 11:25:09

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Sistema operativo Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Ejecutar un archivo DLL como una aplicación

InternalName : rundll

LegalCopyright : © Microsoft Corporation. Reservados todos los derechos.

OriginalFilename : RUNDLL.EXE



#:29 [zlclient.exe]

FilePath : C:\Archivos de programa\Zone Labs\ZoneAlarm\

ProcessID : 1448

ThreadCreationTime : 15-11-2006 11:25:09

BasePriority : Normal

FileVersion : 6.0.667.000

ProductVersion : 6.0.667.000

ProductName : Zone Labs Client

CompanyName : Zone Labs, LLC

FileDescription : Zone Labs Client

InternalName : zlclient

LegalCopyright : Copyright © 1998-2005, Zone Labs, LLC

OriginalFilename : zlclient.exe



#:30 [update.exe]

FilePath : C:\Archivos de programa\Archivos comunes\{809B8B7A-0AFD-3082-0316-040312270022}\

ProcessID : 1460

ThreadCreationTime : 15-11-2006 11:25:09

BasePriority : Normal





Softomate Toolbar Object Recognized!

Type : Process

Data : Update.exe

TAC Rating : 9

Category : Data Miner

Comment :

Object : C:\Archivos de programa\Archivos comunes\{809B8B7A-0AFD-3082-0316-040312270022}\





"C:\Archivos de programa\Archivos comunes\{809B8B7A-0AFD-3082-0316-040312270022}\Update.exe"Process terminated successfully

"C:\Archivos de programa\Archivos comunes\{809B8B7A-0AFD-3082-0316-040312270022}\Update.exe"Process terminated successfully



#:31 [ctfmon.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1464

ThreadCreationTime : 15-11-2006 11:25:10

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : CTF Loader

InternalName : CTFMON

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : CTFMON.EXE



#:32 [iexplore.exe]

FilePath : C:\Archivos de programa\Internet Explorer\

ProcessID : 2852

ThreadCreationTime : 15-11-2006 11:26:13

BasePriority : Normal

FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 6.00.2900.2180

ProductName : Sistema operativo Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Internet Explorer

InternalName : iexplore

LegalCopyright : © Microsoft Corporation. Reservados todos los derechos.

OriginalFilename : IEXPLORE.EXE



#:33 [rundll32.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 3448

ThreadCreationTime : 15-11-2006 11:28:54

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Sistema operativo Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Ejecutar un archivo DLL como una aplicación

InternalName : rundll

LegalCopyright : © Microsoft Corporation. Reservados todos los derechos.

OriginalFilename : RUNDLL.EXE



#:34 [ad-aware.exe]

FilePath : C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\

ProcessID : 3596

ThreadCreationTime : 15-11-2006 11:30:40

BasePriority : Normal

FileVersion : 6.2.0.236

ProductVersion : SE 106

ProductName : Lavasoft Ad-Aware SE

CompanyName : Lavasoft Sweden

FileDescription : Ad-Aware SE Core application

InternalName : Ad-Aware.exe

LegalCopyright : Copyright © Lavasoft AB Sweden

OriginalFilename : Ad-Aware.exe

Comments : All Rights Reserved



Memory scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 1

Objects found so far: 32





Started registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»



Registry Scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 32





Started deep registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»



Deep registry scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 32





Started Tracking Cookie scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»





Tracking cookie scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 32







Deep scanning and examining files (C:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»



Adware.MyToolbar Object Recognized!

Type : File

Data : MyToolBar.dll

TAC Rating : 3

Category : Adware

Comment :

Object : C:\Archivos de programa\Archivos comunes\{309B8B7A-0AFD-3082-0316-040312270022}\

FileVersion : 1, 0, 0, 1

ProductVersion : 1, 0, 0, 1

ProductName : ToolBar888 Module

FileDescription : ToolBar888 Module

InternalName : ToolBar888

LegalCopyright : Copyright 2001

OriginalFilename : MyToolBar.DLL





Win32.TrojanDownloader.Agent Object Recognized!

Type : File

Data : services.dll

TAC Rating : 10

Category : Virus

Comment :

Object : C:\Archivos de programa\Archivos comunes\{809B8B7A-0AFD-3082-0316-040312270022}\







Softomate Toolbar Object Recognized!

Type : File

Data : system.dll

TAC Rating : 9

Category : Data Miner

Comment :

Object : C:\Archivos de programa\Archivos comunes\{809B8B7A-0AFD-3082-0316-040312270022}\







Softomate Toolbar Object Recognized!

Type : File

Data : Update.exe

TAC Rating : 9

Category : Data Miner

Comment :

Object : C:\Archivos de programa\Archivos comunes\{809B8B7A-0AFD-3082-0316-040312270022}\







Softomate Toolbar Object Recognized!

Type : File

Data : A0015139.exe

TAC Rating : 9

Category : Data Miner

Comment :

Object : C:\System Volume Information\_restore{18B6589F-7F3A-4388-985C-C11B9375FBEA}\RP101\







Adware.MyToolbar Object Recognized!

Type : File

Data : A0015140.dll

TAC Rating : 3

Category : Adware

Comment :

Object : C:\System Volume Information\_restore{18B6589F-7F3A-4388-985C-C11B9375FBEA}\RP101\

FileVersion : 1, 0, 0, 1

ProductVersion : 1, 0, 0, 1

ProductName : ToolBar888 Module

FileDescription : ToolBar888 Module

InternalName : ToolBar888

LegalCopyright : Copyright 2001

OriginalFilename : MyToolBar.DLL





Adware.Searchcolours Object Recognized!

Type : File

Data : A0015141.dll

TAC Rating : 4

Category : Adware

Comment :

Object : C:\System Volume Information\_restore{18B6589F-7F3A-4388-985C-C11B9375FBEA}\RP101\







Win32.TrojanDownloader.Agent Object Recognized!

Type : File

Data : A0015142.dll

TAC Rating : 10

Category : Virus

Comment :

Object : C:\System Volume Information\_restore{18B6589F-7F3A-4388-985C-C11B9375FBEA}\RP101\







Softomate Toolbar Object Recognized!

Type : File

Data : A0015143.dll

TAC Rating : 9

Category : Data Miner

Comment :

Object : C:\System Volume Information\_restore{18B6589F-7F3A-4388-985C-C11B9375FBEA}\RP101\







Disk Scan Result for C:\

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 41





Deep scanning and examining files (D:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»



Disk Scan Result for D:\

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 41





Scanning Hosts file......

Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»



Hosts file scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

1 entries scanned.

New critical objects:0

Objects found so far: 41









Performing conditional scans...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»



Win32.TrojanDownloader.Agent Object Recognized!

Type : File

Data : SA.DAT

TAC Rating : 10

Category : Virus

Comment :

Object : C:\WINDOWS\tasks\







Other Object Recognized!

Type : File

Data : UPDATE.EXE-06B5F982.pf

TAC Rating : 7

Category : Malware

Comment :

Object : C:\WINDOWS\prefetch\







Conditional scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 2

Objects found so far: 43



12:49:02 Scan Complete



Summary Of This Scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Total scanning time:00:16:57.750

Objects scanned:182239

Objects identified:13

Objects ignored:0

New critical objects:13

[koga]

Evie este archivo para su analisis porfavor:

C:\WinLogon\WINHOO32.DLL,



Una vez enviada la muestra ya puede arrancar en modo seguro ejecute el hijackthis y si aun encuentra estas entradas les da fix checked,



O4 - HKCU\..\Run: [Tuh] C:\Documents and Settings\Raul-\Mis documentos\??pPatch\?ttrib.exe



O20 - Winlogon Notify: winhoo32 - C:\WINDOWS\SYSTEM32\winhoo32.dll



Saludos.

[msc hotline sat]

Recibidas muestras, alguna ya se controlan con el ELISTARA 12.71 de ayer y una la pasamos a implemnentar en el de hoy



saludos



ms, 15-11-2006



151106ES