Varios Virus: Busters, 888bar, Troj_Purity(SOLUCIONADO)

Shauri · Mensaje por **Shauri** » 24 Nov 2006, 22:20

Hola!!
Soy nueva en este foro y os podeis imaginar por que.... NECESITO AYUDA por favor!!!!!!!

Hace unos dias instalandome unos codecs, se me instalo el "virus_Buster", buscando en los foros encontre alguna solucion, pero no ha dado resultado.
He pasado varias veces el ELISTARA, el Ad-Acare Se Personal y no consigo nada. (varias veces en modo seguro y desactivando el restaurador de sistema, otras no me di cuenta)
Los problemas que ahora tengo son varios:
Me sale la barra 888Bar en el explorer, no funciona el explorer a la vez que el explorador. Tengo una nueva configuracion de acceso telefonica llamada 0202. La barra de acceso rápido se desactiva. Me detectan una pila de troyanos como el TRO_PURITY, el TROJ:RENOS y demas.
Me he descargado el HijackThis y lo he pasado, mas abajo os lo dejo.
Varias veces he mandado a la direccion de "virus@satinfo.es" los datos que pedian pero no he obtenido respuesta.
Os mando los logs del ELISTARA y alguno de los archivos que necesitais que tengo en el ordenador.
Espero que podais ayudarme o redireccionarme a algun otro foro que me pueda ayudar, pues yo he revisado todo y ya no se que mas puedo hacer. Quizas no lo este haciendo bien.
Estoy ya muy desesperada de la pila de cosas que le pasan al ordenador.
Muchas gracias de ante mano.

Logfile of HijackThis v1.99.1
Scan saved at 21:47:59, on 24/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\bin\btwdins.exe
C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\system32\wwSecure.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe
D:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\rundll32.exe
D:\Archivos de programa\RealPopup\RealPopup.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\TEMP\FQEC74.EXE
C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\svchost.exe
C:\ARCHIV~1\FUJITS~1\BLUETO~1\BTSTAC~1.EXE
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Archivos de programa\Archivos comunes\{60C1AD13-06C1-3082-0322-060927200022}\Update.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
D:\Mis documentos\8. PROGRAMAS\AntiVirusl\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por GAMESA
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.254.2:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.*.*; 127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Archivos de programa\Gamesa Utiles\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Archivos de programa\Archivos comunes\{30C1AD13-06C1-3082-0322-060927200022}\888.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [jezmesh.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\jezmesh.dll,zadrarc
O4 - HKCU\..\Run: [RealPopup] "D:\Archivos de programa\RealPopup\RealPopup.exe" BOOT
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_7 -reboot 1
O4 - HKCU\..\Run: [Window Washer] C:\Archivos de programa\Webroot\Washer\wwDisp.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\btsendto_ie.htm (file missing)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\btsendto_ie.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {3ADBB867-9732-4F8F-BF11-028BD4D2B7B1} (CEngine Control) - http://aulavirtual.ibex.es/content/global/cursoscae/cengine.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\BTXPPA~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Exploración en tiempo real de OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Cortafuegos de OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

Nota, he intentado adjuntar los archivos .dll que se necesitan pero no los admite. Lo he intentado comprimiendolos como .rar y tampoco los puedo adjuntar. Si los necesitais decidme donde los puedo enviar.

Un saludo,
Shauri

ahi · Mensaje por **ahi** » 24 Nov 2006, 23:41

el elis ha borrado bastante. pasa el spybot search and destroy y borra esto en el hijackthis(le das al cuadradito de al lado y pinchas en fix checked):

O4- HKLM\..\Run:[jezmesh.dll]C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\jezmesh.dll,zadrarc

O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Archivos de programa\Archivos comunes\{30C1AD13-06C1-3082-0322-060927200022}\888.dll

Shauri · Mensaje por **Shauri** » 25 Nov 2006, 00:57

Hola de nuevo;

he hecho lo que me comentabas, he pasado el spybot-search en modo seguro, pero no he podido quitar lo que decias del HijackThis pues no aparecen esos puntos.
El problema de la barra "888bar" se ha solucionado. Pero los demas problemas persisten:
La barra de inicio rapido se desactiva.
El explorador no funciona con el Internet explorer.
Tengo un nueva configuracion de acceso telefonica llamada "0202" con el nombre de "es_148_0_0202_0007".
Se me abren paginas de internet distintas a las que quiero que se abran.
Tienes alguna idea de como solucionarlo???
Por cierto, muchas gracias por la ayuda.
Un saludo,
Shauri
Logfile of HijackThis v1.99.1
Scan saved at 0:54:01, on 25/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\bin\btwdins.exe
C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\system32\wwSecure.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe
D:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\Archivos de programa\Archivos comunes\{60C1AD13-06C0-3082-0322-060927200022}\Update.exe
D:\Archivos de programa\RealPopup\RealPopup.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Webroot\Washer\wwDisp.exe
C:\WINDOWS\TEMP\ZPD4DB.EXE
C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\BTTray.exe
C:\ARCHIV~1\FUJITS~1\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\WINDOWS\explorer.exe
D:\Mis documentos\8. PROGRAMAS\AntiVirusl\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por GAMESA
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.254.2:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.*.*; 127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Archivos de programa\Gamesa Utiles\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [RealPopup] "D:\Archivos de programa\RealPopup\RealPopup.exe" BOOT
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_7 -reboot 1
O4 - HKCU\..\Run: [Window Washer] C:\Archivos de programa\Webroot\Washer\wwDisp.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\btsendto_ie.htm (file missing)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\btsendto_ie.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {3ADBB867-9732-4F8F-BF11-028BD4D2B7B1} (CEngine Control) - http://aulavirtual.ibex.es/content/global/cursoscae/cengine.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\BTXPPA~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Exploración en tiempo real de OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Cortafuegos de OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

Mensaje por **msc hotline sat** » 25 Nov 2006, 09:20

Tienes este residente cargado desde carpeta temporal, que tiene todos los numeros !!!:

C:\WINDOWS\TEMP\ZPD4DB.EXE

Envíanos este fichero para que al analizarlo veamos qué es y podamos deshacer lo que hace.

Aparte elimina estas claves:
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\btsendto_ie.htm (file missing)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\btsendto_ie.htm (file missing)

recuerde: viewtopic.php?f=2&t=45334

saludos
ms, 25-11-2006

Shauri · Mensaje por **Shauri** » 25 Nov 2006, 10:21

No encuentro el archivo que me cometas en la carpeta de temp, ni en ningun otro sitio. Quizas se haya eliminado anteriormente.

Ya he eliminado las claves que comentas. Pero me ha entrado una duda, se debe hacer desde modo seguro, porque no lo he hecho asi. Pero por si acaso entrare en este modo y veré si esta o no.

Necesitais que os mande algo mas o pase de nuevo el ELISTARA???

Muchas gracias por la ayuda,

Shauri

Mensaje por **msc hotline sat** » 25 Nov 2006, 10:49

Tras eliminar las claves indicadas, posteanos nuevo log de HJT actualizado, para ver si se recrea aquel fichero u otro, gracias

saludos

ms, 25-11-2006

ahi · Mensaje por **ahi** » 25 Nov 2006, 11:12

sobre la nueva conexion ni se te ocurra conectarte por ella por que si no la has creado tu o alguien de confianza puede traer de todo.

Mensaje por **msc hotline sat** » 25 Nov 2006, 11:20

Y sobre lo que decias de:

Nota, he intentado adjuntar los archivos .dll que se necesitan pero no los admite. Lo he intentado comprimiendolos como .rar y tampoco los puedo adjuntar. Si los necesitais decidme donde los puedo enviar.

recuerda: viewtopic.php?f=2&t=45334

Y los txt y log no los agregues a los post, mejor copia su contenido en ellos para que no se pierda su estructura.

Shauri · Mensaje por **Shauri** » 25 Nov 2006, 12:26

Os paso el nuevo log del HJ

Logfile of HijackThis v1.99.1
Scan saved at 12:19:09, on 25/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\bin\btwdins.exe
C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\system32\wwSecure.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\EQ6A92.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe
D:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Archivos de programa\Archivos comunes\{60C1AD13-06C1-3082-0322-060927200022}\Update.exe
D:\Archivos de programa\RealPopup\RealPopup.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\BTTray.exe
C:\ARCHIV~1\FUJITS~1\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\BitComet\BitComet.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\TEMP\win362.tmp.exe
C:\WINDOWS\TEMP\idd363.tmp.exe
D:\Mis documentos\8. PROGRAMAS\AntiVirusl\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por GAMESA
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.254.2:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.*.*; 127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Archivos de programa\Gamesa Utiles\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvgik.dll,startup
O4 - HKLM\..\Run: [jezmesh.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\jezmesh.dll,zadrarc
O4 - HKCU\..\Run: [RealPopup] "D:\Archivos de programa\RealPopup\RealPopup.exe" BOOT
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_7 -reboot 1
O4 - HKCU\..\Run: [Window Washer] C:\Archivos de programa\Webroot\Washer\wwDisp.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {3ADBB867-9732-4F8F-BF11-028BD4D2B7B1} (CEngine Control) - http://aulavirtual.ibex.es/content/global/cursoscae/cengine.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\BTXPPA~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Exploración en tiempo real de OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Cortafuegos de OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

Mensaje por **msc hotline sat** » 25 Nov 2006, 13:03

Se va regenerando y cambiando de nombre y es que tienes una bariante del DOWNLOADER PUPER galopando !!!

LANZA EL ELISTARA que si mo lo elimina pedira muestras para analizar:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

pero baja la ultima version a ver si ya lo conoce ! : cada dia nos llegan varias muestras de esta familia, controlando y eliminado en estos momentos mas de 140 variantes de este PUPER !

saludos
ms, 25-11-2006

Shauri · Mensaje por **Shauri** » 25 Nov 2006, 14:18

He pasado el ELISTARA nuevo y os envio el log que pedis.
Sigo teniendo los mismos problemas. Espero que podais encontrar el problema

Logfile of HijackThis v1.99.1
Scan saved at 14:19:13, on 25/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\bin\btwdins.exe
C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\system32\wwSecure.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\OBD717.EXE
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe
D:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Archivos comunes\{60C1AD13-06C1-3082-0322-060927200022}\Update.exe
D:\Archivos de programa\RealPopup\RealPopup.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\BTTray.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\ARCHIV~1\FUJITS~1\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\imapi.exe
D:\Mis documentos\8. PROGRAMAS\AntiVirusl\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por GAMESA
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.254.2:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.*.*; 127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Archivos de programa\Gamesa Utiles\SnagIt 7\SnagItBHO.dll
O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\xrsywkca.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {11F0EE13-5947-2942-F631-09BEB2706006} - C:\Documents and Settings\IZG\Configuración local\Datos de programa\wirvufc.dll
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Archivos de programa\Gamesa Utiles\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvgik.dll,startup
O4 - HKLM\..\Run: [jezmesh.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\jezmesh.dll,zadrarc
O4 - HKCU\..\Run: [RealPopup] "D:\Archivos de programa\RealPopup\RealPopup.exe" BOOT
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_7 -reboot 1
O4 - HKCU\..\Run: [Window Washer] C:\Archivos de programa\Webroot\Washer\wwDisp.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {3ADBB867-9732-4F8F-BF11-028BD4D2B7B1} (CEngine Control) - http://aulavirtual.ibex.es/content/global/cursoscae/cengine.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\BTXPPA~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: sfqwrghw - c:\windows\system32\sfqwrghw.dll
O20 - Winlogon Notify: winpgz32 - winpgz32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Exploración en tiempo real de OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Cortafuegos de OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

Un saludo,
Shauri

novatillo · Mensaje por **novatillo** » 25 Nov 2006, 15:20

El log que te pide MSC es el de elistara que esta en C:/infosat.txt lo abres lo copias y lo pegas aqui.

Saludos.

Shauri · Mensaje por **Shauri** » 25 Nov 2006, 16:12

El InfoSat.txt lo he enviado por correo, pero si hace falta lo pego tambien aqui.

Sat Nov 25 13:57:30 2006
EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):

Código: Seleccionar todo

[WinLogon\Notify\PMKJG]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\PMKJG.DLL
 a "virus@satinfo.es". Gracias.
[WinLogon\Notify\SFQWRGHW]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\SFQWRGHW.DLL
 a "virus@satinfo.es". Gracias.
Key Eliminada [WinLogon\Notify\WINPGZ32] -> C:\WINDOWS\SYSTEM32\WINPGZ32.DLL
C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Eliminado Puper
Por favor, envienos una muestra del fichero
C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.79
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado 
C:\WINDOWS\SYSTEM32\WINPGZ32.DLL --> BackDoor-CVT (notify) Renombrado a .VIR
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sat Nov 25 13:59:33 2006
EliStartPage v12.79  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\PMKJG]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\PMKJG.DLL
 a "virus@satinfo.es". Gracias.
[WinLogon\Notify\SFQWRGHW]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\SFQWRGHW.DLL
 a "virus@satinfo.es". Gracias.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sat Nov 25 14:00:32 2006
EliStartPage v12.79  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Safety Bar\SAFETYBAR.DLL --> Eliminado, DownLoader.Safety (TB)
C:\Muestras\ISSEARCH.EXE.MUESTRA ELISTARTPAGE V12.76 --> Eliminado, Puper-Is
C:\WINDOWS\system32\SSQRQ.DLL --> Eliminado, Vundo (notify)
C:\WINDOWS\system32\WINPGZ32.DLL.VIR --> Eliminado, BackDoor-CVT (notify)
C:\WINDOWS\Temp\MST344.TMP --> Eliminado, FakeAlert.Renos
C:\WinLogon\SSQRQ.DLL --> Eliminado, Vundo (notify)
C:\WinLogon\WINPGZ32.DLL --> Eliminado, BackDoor-CVT (notify)
Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.6.11.14  (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------------
Lista de Acciones:
Detectado Vundo
Elininada KEY "Winlogon\Notify\pmkjg"
Desinstalado EliNotif.dll

	  Sat Nov 25 14:06:38 2006
EliStartPage v12.79  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\SFQWRGHW]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\SFQWRGHW.DLL
 a "virus@satinfo.es". Gracias.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Mensaje por **msc hotline sat** » 26 Nov 2006, 11:34

Pues envianos las muestras que se te piden en el infosat.txt y tras analizar el HJT, complementarlo con esto, envíanos estos ficheros para analizar:

C:\WINDOWS\TEMP\OBD717.EXE
C:\WINDOWS\system32\xrsywkca.dll
C:\WINDOWS\system32\jezmesh.dll
C:\WINDOWS\system32\drvgik.dll
c:\windows\system32\sfqwrghw.dll

y elimina estas claves:
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - (no file)
O4 - HKLM\..\Run: [jezmesh.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\jezmesh.dll,zadrarc
O20 - Winlogon Notify: winpgz32 - winpgz32.dll (file missing)

y dunos su este Realpopup.exe, supuesto antipopups, lo instalastes voluntariamente o te lo encontraste...

Empezamos a sospechar que es el causante de esta regeneracion de troyanos...

si quieres eliminarlo, elimina esta clave:

O4 - HKCU\..\Run: [RealPopup] "D:\Archivos de programa\RealPopup\RealPopup.exe" BOOT

saludos
ms, 26-11-2006

Shauri · Mensaje por **Shauri** » 26 Nov 2006, 18:01

Hola,
Os he enviado todo lo que me pedis a la direccion "zonavirus@satinfo.es", pero el acceso a internet y el envio de correos cada vez es peor en mi ordenador.
De todas formas ya os habia enviado ayer otros archivos, no se si los habeis recibido.

He vuelto a pasar el Elistara en modo seguro, porque se me habia olvidado pasarlo por la unidad D y este es el log:

Sun Nov 26 10:18:05 2006
EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
[WinLogon\Notify\SFQWRGHW]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\SFQWRGHW.DLL
 a "virus@satinfo.es". Gracias.
Eliminados Ficheros Temporales del IE

	  Sun Nov 26 10:21:54 2006
EliStartPage v12.79  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
D:\Archivos de programa\Phoenix Contact\Software Suite\Bin\DELLUCFG.EXE --> Eliminado, QDial.Internazionale

	  Sun Nov 26 10:30:21 2006
EliStartPage v12.79  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\SFQWRGHW]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\SFQWRGHW.DLL
 a "virus@satinfo.es". Gracias.
Eliminada Carpeta "%WinSys%\LogFiles"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sun Nov 26 10:35:16 2006
EliStartPage v12.79  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
D:\Mis documentos\8. PROGRAMAS\Personales\Passware Kit v7.5.1764 Enterprise\PASSWARE KIT V7.5.1764 ENTERPRISE.EXE --> AutoExtraible
D:\Mis documentos\8. PROGRAMAS\Personales\Utiles\AutoHotkey\AUTOHOTKEYINSTALL.EXE --> AutoExtraible
D:\Mis documentos\Mis archivos recibidos\Idoia\Cortafuegos\NV11ESD.EXE --> AutoExtraible
D:\Mis documentos\MIS DOCUMENTOS\0. CURSOS\1. UNED\1. AUTOMATAS\Simuladores Siemens\S5_S7\S7CF7RW.DLL --> Eliminado, AltNet
D:\Mis documentos\MIS DOCUMENTOS\12. Matematicas\1. Matemáticas\Comentarios CorelDRAW 12_archivos\AXDLPLUG-1.5.0.0-147-SETUP.EXE --> AutoExtraible

	  Sun Nov 26 11:37:52 2006
EliStartPage v12.79  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\SFQWRGHW]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\SFQWRGHW.DLL
 a "virus@satinfo.es". Gracias.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sun Nov 26 11:56:42 2006
EliStartPage v12.79  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
D:\Mis documentos\8. PROGRAMAS\Personales\Passware Kit v7.5.1764 Enterprise\PASSWARE KIT V7.5.1764 ENTERPRISE.EXE --> AutoExtraible
D:\Mis documentos\8. PROGRAMAS\Personales\Utiles\AutoHotkey\AUTOHOTKEYINSTALL.EXE --> AutoExtraible
D:\Mis documentos\Mis archivos recibidos\Idoia\Cortafuegos\NV11ESD.EXE --> AutoExtraible
D:\Mis documentos\MIS DOCUMENTOS\12. Matematicas\1. Matemáticas\Comentarios CorelDRAW 12_archivos\AXDLPLUG-1.5.0.0-147-SETUP.EXE --> AutoExtraible



Después tambien en modo seguro he pasado el HJK   y he eliminado las claves:
O20 - Winlogon Notify: winpgz32 - winpgz32.dll (file missing) 

O4 - HKCU\..\Run: [RealPopup] "D:\Archivos de programa\RealPopup\RealPopup.exe" BOOT 

No he encontrado estas claves que comentabais:
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - (no file) 

O4 - HKLM\..\Run: [jezmesh.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\jezmesh.dll,zadrarc 

Y despues de eliminarlo he vuelto a pasar el HJK, este es el log nuevo:

 Logfile of HijackThis v1.99.1
Scan saved at 13:50:27, on 26/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Archivos de programa\Gamesa Utiles\UltraEdit-32\uedit32.exe
C:\Documents and Settings\IZG\Escritorio\AntiVirusl\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por GAMESA
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.254.2:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.*.*; 127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Archivos de programa\Gamesa Utiles\SnagIt 7\SnagItBHO.dll
O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\xrsywkca.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {11F0EE13-5947-2942-F631-09BEB2706006} - C:\Documents and Settings\IZG\Configuración local\Datos de programa\wirvufc.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Archivos de programa\Gamesa Utiles\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvgik.dll,startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_7 -reboot 1
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {3ADBB867-9732-4F8F-BF11-028BD4D2B7B1} (CEngine Control) - http://aulavirtual.ibex.es/content/global/cursoscae/cengine.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\BTXPPA~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: sfqwrghw - c:\windows\system32\sfqwrghw.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Exploración en tiempo real de OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Cortafuegos de OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

Y despues os he enviado todo lo que me pediais.

El programa que me comentasis “RealPopUp” lo tengo hace tiempo instalado y los usamos entre los ordenadores de una red local. No creo que pueda ser este el problema, pero por si acaso he eliminado la clave que me comentabais.
Espero que esto os acerque mas a la solucion, que parece que esta empeorando.

Un saludo,
Shauri

Mensaje por **msc hotline sat** » 26 Nov 2006, 19:41

Pues ya has visto que te pide muestras. Si no lo has hecho antes, envialas

Por favor, envienos una muestra del fichero

C:\WinLogon\SFQWRGHW.DLL

y doy un vistazo al log del HJT...

Shauri · Mensaje por **Shauri** » 26 Nov 2006, 19:46

Os he enviado todos los archivos hará unas 2 horas por correo con asunto "REF- Shauri -- Varios Virus: Virus-Busters, 888bar, Troj_Purity etc" a la direccion "zonavirus@satinfo.es".

Avisadme si lo recibis o no, para volverlo a enviar en ese caso.

Un saludo.

Mensaje por **msc hotline sat** » 26 Nov 2006, 19:58

Pues vamis a ir a saco:

Si no las conoces, elimina estas claves:
O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\xrsywkca.dll
O2 - BHO: (no name) - {11F0EE13-5947-2942-F631-09BEB2706006} - C:\Documents and Settings\IZG\Configuración local\Datos de programa\wirvufc.dll
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvgik.dll,startup
O20 - Winlogon Notify: sfqwrghw - c:\windows\system32\sfqwrghw.dll

que son de nombres aleatorios y que varian en cada reinicio por lo que ajota ya debven ser otras...
El meollo está en el lanzamiento de esta
O20 - Winlogon Notify: sfqwrghw - c:\windows\system32\sfqwrghw.dll
que como que lo hace imcluso antes de arrancar en modo seguro, está en uso y ya no la puedes eliminar

Por eso hacemos el ELINOTIF que instala el ELISTARA, pero hemos de tener muestra de la DLL para ello

Si no la encuentras es que ha cambiado de nombre. Lanza el HJT y copia a un disquete los dos ficheros que lanzan las claves de la posicion O20 , uno no hace falta pero asi te sera mas facil...

LA CLAVE ESTA EN QUE NOS ENVIES ESTAS DLL.

saludos
ms, 26-11-2006

Shauri · Mensaje por **Shauri** » 26 Nov 2006, 21:02

Os he enviado la dll "sfqwrghw.dll" que pedis por correo y tambien los logs del HJT.

No se si he hecho bien, pero como decias que :
que son de nombres aleatorios y que varian en cada reinicio por lo que ajota ya debven ser otras...

El meollo está en el lanzamiento de esta

O20 - Winlogon Notify: sfqwrghw - c:\windows\system32\sfqwrghw.dll

que como que lo hace imcluso antes de arrancar en modo seguro, está en uso y ya no la puedes eliminar

He eliminado las claves mencionadas en modo normal:

O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\xrsywkca.dll

O2 - BHO: (no name) - {11F0EE13-5947-2942-F631-09BEB2706006} - C:\Documents and Settings\IZG\Configuración local\Datos de programa\wirvufc.dll

O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvgik.dll,startup

O20 - Winlogon Notify: sfqwrghw - c:\windows\system32\sfqwrghw.dll
He copiado el log del HJT antes y despues de hacerlo.

Despues he ido a modo seguro y ya no estaban las claves, solamente la:

O20 - Winlogon Notify: sfqwrghw - c:\windows\system32\sfqwrghw.dll

He pasado el HJT y la he eliminado, pero al volver a pasarle sigue saliendo.
He reinciado el ordenador y he vuelto a pasar el HJT y sigue saliendo es clave.
Os he enviado la DLL, no se podrá eliminar esta del disco duro directamente????

No he entendido bien que debia hacer cuando dices:
Si no la encuentras es que ha cambiado de nombre. Lanza el HJT y copia a un disquete los dos ficheros que lanzan las claves de la posicion O20 , uno no hace falta pero asi te sera mas facil...

Espero que os llegue el correo con las DLL pronto.
Saludos

Mensaje por **msc hotline sat** » 26 Nov 2006, 21:15

Si esta en uso windows no deja, y es lko primero que se carga, aunque arranques en modo seguro. Por esto hacemos el ELINOTIF, con el que el ELISTARA instala una clave que carga otra DLL que mata a la troyana antes de que entre en uso...

Habria otra manera, sí, arrancando con el CD de instalacion y desde consola de recuperacion eliminar dicha DLL, pero estara con atributos que dificultaran su vision y eliminacion, por eso en SATINFO lo hacemos facil para el usuario

Mañana, cuando volvamos al trabajo, lo veremos

saludos

ms, 26-11-2006

Shauri · Mensaje por **Shauri** » 26 Nov 2006, 21:32

Ok, espero entonces vuestra ayuda mañana.

Avisadme si no habeis recibido los archivos.

Saludos

Mensaje por **msc hotline sat** » 27 Nov 2006, 07:15

Eso ya no entra en mis posibilidades, pues no recibo los mails sino que hay un equipo de tecnicos que atiende a los miles de usuarios asociados a los servicios de SATINFO, los cuales descargan cada lunes mas de mil mails, y no les puedo pedir eso... Es cuando en proceso entra uno de zonavirus que a veces me lo comentan, si no estoy al telefono... Pero por la noche se informa de las nuevas versiones de utilidades para evaluar en el foro, donde se indica las novedades de cada una

Si llega mal, con fichero a cero bytes o sin fichero a analizar, automaticamente se informa al usuario por mail . Pero de eso a saber si no llega uno en concreto...

pero esperemos que llegue bien ! pues no eres gafe, verdad ? :lol:

saludos

ms, 27-11-2006

nota: pero miraré de recordar esta DLL, sfqwrghw.dll, shauri

271106MR

Shauri · Mensaje por **Shauri** » 27 Nov 2006, 11:29

Ahora ya esta todo clarito.

De todas formas, por ahora (y seamos positivos) , no estoy teniendo problemas en el ordenador. No aparecen iconos raros en la barra de tareas y ya puedo trabajar con el internet explorer y el explorador de windows a la vez.

Crucemos los dedos :wink: y esperemos la nueva version.

Saludos,

Shauri.

Mensaje por **msc hotline sat** » 27 Nov 2006, 11:39

Es que ya elimimaste muchas claves viricas... solo falta la de marras, que tiodavia no ha entrado en proceso (me acuerdo de tiiiii)

Es que aparte de las muestras. ta,bien nos llegan spams como a todo el mundo, y hoy los sistemas que tenemos ya has separado mas de 600, pero claro, con su peaje de tiempo...

saludos

ms, 27-11-2006

Mensaje por **msc hotline sat** » 27 Nov 2006, 13:05

Me han indicado entran varios zip con tu referencia

Poidpo la DLL de marras a ver que es y te informo. El esto sigue su proceso.

Sopbre la DLL de marras, es un nuevo malware que solo tres conocen:

Este es el resultado completo de analizar el archivo "sfqwrghw.dll" que VirusTotal ha recibido el día 27.11.2006 a las 12:09:55 (CET).

Antivirus Version Actualización Resultado
AntiVir 7.2.0.46 27.11.2006 HEUR/Malware
Authentium 4.93.8 24.11.2006 no ha encontrado virus
Avast 4.7.892.0 27.11.2006 Win32:Trojano-1165
AVG 386 27.11.2006 no ha encontrado virus
BitDefender 7.2 27.11.2006 no ha encontrado virus
CAT-QuickHeal 8.00 25.11.2006 no ha encontrado virus
ClamAV devel-20060426 27.11.2006 no ha encontrado virus
DrWeb 4.33 27.11.2006 MULDROP.Trojan
eSafe 7.0.14.0 26.11.2006 no ha encontrado virus
eTrust-InoculateIT 23.73.68 27.11.2006 no ha encontrado virus
eTrust-Vet 30.3.3217 27.11.2006 no ha encontrado virus
Ewido 4.0 26.11.2006 no ha encontrado virus
Fortinet 2.82.0.0 27.11.2006 no ha encontrado virus
F-Prot 3.16f 24.11.2006 no ha encontrado virus
F-Prot4 4.2.1.29 24.11.2006 no ha encontrado virus
Ikarus 0.2.65.0 27.11.2006 no ha encontrado virus
Kaspersky 4.0.2.24 27.11.2006 no ha encontrado virus
McAfee 4904 24.11.2006 no ha encontrado virus
Microsoft 1.1804 27.11.2006 no ha encontrado virus
NOD32v2 1884 27.11.2006 no ha encontrado virus
Norman 5.80.02 27.11.2006 no ha encontrado virus
Panda 9.0.0.4 26.11.2006 no ha encontrado virus
Prevx1 V2 27.11.2006 no ha encontrado virus
Sophos 4.11.0 16.11.2006 no ha encontrado virus
TheHacker 6.0.3.124 27.11.2006 no ha encontrado virus
UNA 1.83 24.11.2006 no ha encontrado virus
VBA32 3.11.1 27.11.2006 no ha encontrado virus
VirusBuster 4.3.15:9 27.11.2006 no ha encontrado virus

Información adicional
Tamaño archivo: 106555 bytes
MD5: c766f4dadb87186b70cf95f6d201f70f
SHA1: c93386a5cbc1c03cc6144a036438ffe1e5265946

Pasa a implementarse en el ELISTARA de hoy

saludos

Mensaje por **msc hotline sat** » 27 Nov 2006, 18:56

Pues descarga el ELISTARA.EXE y el ELONOTIF.DLL en una misma carpeta y ejecuta el ELISTARA, que instalará el ELINOTIF y pedirá reiniciar, tras lo cual este último arrancará antes que nadie y hará limpieza.

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL
http://www.zonavirus.com/descargas/elinotif.asp

saludos
ms, 27-11-2006

Shauri · Mensaje por **Shauri** » 28 Nov 2006, 09:13

Hola;
Ya he pasado el Elistara y el Elinotif actualizados. Este es el infosat:

Tue Nov 28 07:39:24 2006
EliStartPage v12.80 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\SFQWRGHW] -> C:\WINDOWS\SYSTEM32\SFQWRGHW.DLL
C:\WINDOWS\SYSTEM32\SFQWRGHW.DLL --> Malware(notify) Renombrado a .VIR
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue Nov 28 07:41:34 2006
EliStartPage v12.80  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue Nov 28 07:42:41 2006
EliStartPage v12.80  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Documents and Settings\IZG\Escritorio\Nueva carpeta\SFQWRGHW.DLL --> Eliminado, Malware(notify)
C:\Muestras\ISMINI.EXE.MUESTRA ELISTARTPAGE V12.76 --> Eliminado, Puper-Isa
C:\Muestras\ISMINI.EXE.MUESTRA ELISTARTPAGE V12.77 --> Eliminado, Puper-Isa
C:\Muestras\ISMINI.EXE.MUESTRA ELISTARTPAGE V12.79 --> Eliminado, Puper-Isa
C:\WINDOWS\system32\ANOVNAUU.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\CKRESSHU.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\CMDRJBNS.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\DYTINNNG.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\FAGPFHSI.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\FEHHRBFD.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\FNQNFPQM.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\FUGHYGOT.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\FYMPCHKH.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\HTQGPLFH.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\IBYJQRSP.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\KFBRGWDM.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\KUIFKIJP.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\LIKWTJOM.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\MEGNQGVF.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\NPGRYXHV.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\NYUIKOXU.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\QLKPWTGP.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\QUIVNFXX.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\SFQWRGHW.DLL.VIR --> Eliminado, Malware(notify)
C:\WINDOWS\system32\SNSYHSXO.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\TWOAIUFF.DLL --> Eliminado, Malware(notify)
C:\WINDOWS\system32\WEWGGVEU.DLL --> Eliminado, Malware(notify)
C:\WinLogon\DDCCD.DLL --> Eliminado, Vundo (notify)
C:\WinLogon\JKHHE.DLL --> Eliminado, Vundo (notify)
C:\WinLogon\PMKJG.DLL --> Eliminado, Vundo (notify)
C:\WinLogon\SFQWRGHW.DLL --> Eliminado, Malware(notify)

	  Tue Nov 28 07:54:57 2006
EliStartPage v12.80  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
D:\Mis documentos\8. PROGRAMAS\Personales\Passware Kit v7.5.1764 Enterprise\PASSWARE KIT V7.5.1764 ENTERPRISE.EXE --> AutoExtraible
D:\Mis documentos\8. PROGRAMAS\Personales\Utiles\AutoHotkey\AUTOHOTKEYINSTALL.EXE --> AutoExtraible
D:\Mis documentos\Mis archivos recibidos\Idoia\Cortafuegos\NV11ESD.EXE --> AutoExtraible
D:\Mis documentos\MIS DOCUMENTOS\12. Matematicas\1. Matemáticas\Comentarios CorelDRAW 12_archivos\AXDLPLUG-1.5.0.0-147-SETUP.EXE --> AutoExtraible

	  Tue Nov 28 07:59:31 2006
EliStartPage v12.80  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE



El log del HJT es el siguiente;

ogfile of HijackThis v1.99.1
Scan saved at 8:10:23, on 28/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\bin\btwdins.exe
C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wwSecure.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\ZJC7C6.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe
D:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Archivos de programa\Archivos comunes\{60C1AD13-06C1-3082-0322-060927200022}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\BTTray.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Mis documentos\8. PROGRAMAS\0. ANTIVIRUS\3. HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por GAMESA
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.254.2:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.*.*; 127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Archivos de programa\Gamesa Utiles\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Archivos de programa\AntiVirus\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Archivos de programa\Gamesa Utiles\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_7 -reboot 1
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.zonavirus.com
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {3ADBB867-9732-4F8F-BF11-028BD4D2B7B1} (CEngine Control) - http://aulavirtual.ibex.es/content/global/cursoscae/cengine.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\BTXPPA~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: sfqwrghw - c:\windows\system32\sfqwrghw.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\Fujitsu Siemens\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Exploración en tiempo real de OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Cortafuegos de OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

Creo que con esto se habrá solucionado todo.

Muchas gracias por la ayuda.
Shauri.

Mensaje por **msc hotline sat** » 28 Nov 2006, 11:36

Pues casi...

Solo falta saber las fuciones que se utilizan de la DLL en cuestion para rematar al bicho.,

Para ello ejecuta este BAT , que podras obtener SELECCIONANDO, COPIANDO, PEGANDO Y GUARDANDO como WINLOGON.BAT:

Al ejecutar este WINLOGON.BAT se generará en la misma carpeta un WINLOGON.TXT que contendrá toda la clave, incluyendo funciones utilizadas de la DLL en cuestion, lo cual necewsitramos para matarla con sus mismas armas

Si tienes alguna duda al respecto, comentanoslo, gracias

saludos

ms, 28-11-2006

_____________________________________

Regedit /e Winlogon.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sfqwrghw"

_______________________________________

ms,

--____________________________________

Shauri · Mensaje por **Shauri** » 28 Nov 2006, 14:35

Pues la verdad es que no se cual es el Bat que tengo que ejecutar.

Tengo que copiar:

Regedit /e Winlogon.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sfqwrghw"

pegarlo y guardarlo con el nombre de WINLOGON.BAT ?

Y despues lo ejecuto?

Shauri · Mensaje por **Shauri** » 28 Nov 2006, 14:37

Lo he hecho, como supuestamente he entendido y me ha creado el siguiente log:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sfqwrghw]

"Asynchronous"=dword:00000000

"DllName"="c:\\windows\\system32\\sfqwrghw.dll"

"Impersonate"=dword:00000000

"Startup"="LogonWinEvent"

Espero que lo haya hecho bien y os sirva.