fp.gad-network.com (volvioooo) (SOLUCIONADO)

[dida]

tengo rabia. Ayer aparecio fp.gad-network.com, esa maldita ventana, q hace q al rato aparecen todo tipo d publicidades, q driver clearn.., cosas asi, las cuales borro con los anti espias, pero q justo cuando aparece fp.gad-network.com, reaparecen.



ya desintale el msn plus, lo cual me dio paz por 2 dias, pero reaparecio el mal.



aqui dejo el esacaneo:

Logfile of HijackThis v1.99.1

Scan saved at 0:00:37, on 27-12-2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

C:\Archivos de programa\QuickTime\qttask.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\DAEMON Tools\daemon.exe

C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

C:\WINDOWS\system32\ctfmon.exe

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\SiteAdvisor\4608\SAService.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.dll

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.3/g_bin/eng/boards_2_0_0_30.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by117fd.bay117.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135789535203

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5D054E48-0F08-43CE-B112-EAD3B6E3F1FF}: NameServer = 200.28.4.129 200.28.4.130

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: SiteAdvisor Service - Unknown owner - C:\Archivos de programa\SiteAdvisor\4608\SAService.exe



:cry:

[alesegador]

Creo q se la solución.... :D con el HijackThis dale "FixChecked" a esta entrada:

[color=red]O23 - Service: SiteAdvisor Service - Unknown owner - C:\Archivos de programa\SiteAdvisor\4608\SAService.exe [/color]

y luego ejecuta el EliStarA q se baja de esta misma web.....

Comenta Tus Resultados.... :wink:

salu2

[Nuker]

NO LE DES FIX !

Esa entrada es Legitima es parte de MCAFEE, espera la respuesta de un moderador como MSC para darte instrucciones sobre tu log o esta entrada.

[alesegador]

ups lo siento......no le des fix entonces....

empeze mal..... :cry:

[Nuker]

No te preocupes alesegador yo tambien he metido la pata varias veces, solo fijate mas para la proxima. :lol:



Saludos

[msc hotline sat]

Bien nuker, de alumno a profesor, eh?

Efectivamente esta aplicación es legal y recomendada por nosotros

Voy a examinar el log pero así por encima no he visto nada raro

Luego sigo

Pues solo veo que por el bittorrent puedes estar dscargando basura...

Pero con el HJT no se ve nada mas. Descargate el SPROCES y pruebalo, tras lo cual nos posteas el fichero que crea: SPROCLOG.TXT

saludos
ms, 27-12-2006

[dida]

Wed Dec 27 14:56:41 2006

SProces v2.3 (c)2006 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

------------------

C:\WINDOWS\SYSTEM32\SMSS.EXE -> smss.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Administrador de sesión de Windows NT, Microsoft Corporation

C:\WINDOWS\SYSTEM32\WINLOGON.EXE -> WINLOGON.EXE, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Aplicación de inicio de sesión de Windows NT, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SERVICES.EXE -> services.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Aplicación de servicios y controlador, Microsoft Corporation

C:\WINDOWS\SYSTEM32\LSASS.EXE -> lsass.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), LSA Shell (Export Version), Microsoft Corporation

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE -> spoolsv.exe, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519), Spooler SubSystem App, Microsoft Corporation

C:\WINDOWS\EXPLORER.EXE -> EXPLORER.EXE, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158), Explorador de Windows, Microsoft Corporation

C:\ARCHIVOS DE PROGRAMA\MCAFEE.COM\VSO\MCVSSHLD.EXE -> McVsShld.exe, 10, 0, 0, 22, McAfee VirusScan ActiveShield Resource, McAfee, Inc.

C:\ARCHIV~1\MCAFEE.COM\AGENT\MCAGENT.EXE -> mcagent.exe, 6, 0, 0, 16, McAfee SecurityCenter Agent, McAfee, Inc

C:\ARCHIVOS DE PROGRAMA\MCAFEE.COM\VSO\OASCLNT.EXE -> OasClnt.exe, 10, 0, 0, 24, McAfee VirusScan OAS Client, McAfee, Inc.

C:\ARCHIVOS DE PROGRAMA\QUICKTIME\QTTASK.EXE -> QTTask.exe, 7.1, QuickTime Task, Apple Computer, Inc.

C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS\DAEMON.EXE -> daemon.exe, 4.00.0.0, Virtual DAEMON Manager, DT Soft Ltd.

C:\ARCHIV~1\MCAFEE.COM\VSO\MCVSESCN.EXE -> mcvsescn.EXE, 10, 0, 0, 20, McAfee VirusScan E-mail Scan Module, McAfee, Inc.

C:\ARCHIVOS DE PROGRAMA\SITEADVISOR\4608\SITEADV.EXE -> SiteAdv, 1.7.0.53, SiteAdvisor, McAfee, Inc.

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE -> realsched.exe, 0.1.0.3760, RealNetworks Scheduler, RealNetworks, Inc.

C:\ARCHIVOS DE PROGRAMA\PICASA2\PICASAMEDIADETECTOR.EXE -> Picasa2.exe, 2.6.35.970, Picasa, Google Inc.

C:\WINDOWS\SYSTEM32\CTFMON.EXE -> CTFMON.EXE, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), CTF Loader, Microsoft Corporation

C:\ARCHIVOS DE PROGRAMA\MCAFEE.COM\AGENT\MCDETECT.EXE -> McDetect.exe, 6, 0, 0, 19, McAfee WSC Integration Service, McAfee, Inc

C:\ARCHIV~1\MCAFEE.COM\VSO\MCSHIELD.EXE -> , 11.0.0.151, On-Access Scanner service, McAfee Inc.

C:\ARCHIV~1\MCAFEE.COM\AGENT\MCTSKSHD.EXE -> McTskshd.exe, 6, 0, 0, 13, McAfee Task Scheduler, McAfee, Inc

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE -> mdm.exe, 7.00.9466, Machine Debug Manager, Microsoft Corporation

C:\ARCHIVOS DE PROGRAMA\SITEADVISOR\4608\SASERVICE.EXE -> , , ,

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\DOCUMENTS AND SETTINGS\RODRIGO\ESCRITORIO\SPROCES.EXE -> SProces.EXE, 1, 0, 0, 0, Visualizador de Modulos y Procesos activos, Satinfo S.L.



Llamadas en el Registro de Sistema:

-----------------------------------

F2 - REG:system.ini: Shell=Explorer.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

F3 - REG:win.ini: Load=

- HKCR\exefile: "%1" %*

- HKCR\comfile: "%1" %*

- HKCR\cmdfile: "%1" %*

- HKCR\batfile: "%1" %*

- HKCR\piffile: "%1" %*

- HKCR\scrfile: "%1" /S

O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKLM\..\Run: [Instant Access] C:\WINDOWS\system32\prosvsys.exe /res

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O20- AppInit_DLLs:

O20- Winlogon Notify: WGALOGON - WGALOGON.DLL

O21- ShellServiceObjectDelayLoad: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21- ShellServiceObjectDelayLoad: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21- ShellServiceObjectDelayLoad: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21- ShellServiceObjectDelayLoad: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21- ShellServiceObjectDelayLoad: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22- SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22- SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll

- ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - - shell32.dll



Internet Explorer:

------------------

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NULL2 - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.dll

O2 - BHO: - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.dll

O16- DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16- DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16- DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16- DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - http://download.ewido.net/ewidoOnlineScan.cab

O16- DPF: {321F38B6-7E5F-470E-B58C-927523B7AF92} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1069_em_XP.cab

O16- DPF: {41ACD49D-1974-791A-0981-AA9872721044} - http://67.15.101.3/g_bin/eng/boards_2_0_0_30.cab

O16- DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16- DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://by117fd.bay117.hotmail.msn.com/resources/MsnPUpld.cab

O16- DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135789535203

O16- DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16- DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16- DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab

O16- DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



Ficheros en la Carpeta de Inicio de Windows:

--------------------------------------------

O4 - Startup: desktop.ini

O4 - Startup: desktop.ini



Llamadas en el WIN.INI y SYSTEM.INI:

------------------------------------



Contenido del CONFIG.SYS:

-------------------------



Contenido del AUTOEXEC.BAT:

---------------------------



Contenido del WINSTART.BAT:

---------------------------



Contenido del HOSTS:

--------------------

[msc hotline sat]

Visto. Ahora veamoslo arrancando en modo seguro por si hubiera un RootKit, gracias



saludos



ms, 28-12-2006

[dida]

ahora lo ejecute en modo seguro

saludos.



Thu Dec 28 12:01:58 2006

SProces v2.3 (c)2006 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

------------------

C:\WINDOWS\SYSTEM32\SMSS.EXE -> smss.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Administrador de sesión de Windows NT, Microsoft Corporation

C:\WINDOWS\SYSTEM32\WINLOGON.EXE -> WINLOGON.EXE, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Aplicación de inicio de sesión de Windows NT, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SERVICES.EXE -> services.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Aplicación de servicios y controlador, Microsoft Corporation

C:\WINDOWS\SYSTEM32\LSASS.EXE -> lsass.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), LSA Shell (Export Version), Microsoft Corporation

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\WINDOWS\EXPLORER.EXE -> EXPLORER.EXE, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158), Explorador de Windows, Microsoft Corporation

C:\DOCUMENTS AND SETTINGS\RODRIGO\ESCRITORIO\SPROCES.EXE -> SProces.EXE, 1, 0, 0, 0, Visualizador de Modulos y Procesos activos, Satinfo S.L.



Llamadas en el Registro de Sistema:

-----------------------------------

F2 - REG:system.ini: Shell=Explorer.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

F3 - REG:win.ini: Load=

- HKCR\exefile: "%1" %*

- HKCR\comfile: "%1" %*

- HKCR\cmdfile: "%1" %*

- HKCR\batfile: "%1" %*

- HKCR\piffile: "%1" %*

- HKCR\scrfile: "%1" /S

O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKLM\..\Run: [Instant Access] C:\WINDOWS\system32\prosvsys.exe /res

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.exe

O4 - HKLM\..\Run: [gqfebi] c:\windows\system32\gqfebi.exe gqfebi

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O20- AppInit_DLLs:

O20- Winlogon Notify: WGALOGON - WGALOGON.DLL

O21- ShellServiceObjectDelayLoad: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21- ShellServiceObjectDelayLoad: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21- ShellServiceObjectDelayLoad: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21- ShellServiceObjectDelayLoad: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21- ShellServiceObjectDelayLoad: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22- SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22- SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll

- ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - - shell32.dll



Internet Explorer:

------------------

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NULL2 - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.dll

O2 - BHO: - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.dll

O16- DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16- DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16- DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16- DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16- DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - http://download.ewido.net/ewidoOnlineScan.cab

O16- DPF: {321F38B6-7E5F-470E-B58C-927523B7AF92} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1069_em_XP.cab

O16- DPF: {41ACD49D-1974-791A-0981-AA9872721044} - http://67.15.101.3/g_bin/eng/boards_2_0_0_30.cab

O16- DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16- DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://by117fd.bay117.hotmail.msn.com/resources/MsnPUpld.cab

O16- DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135789535203

O16- DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16- DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16- DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab

O16- DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



Ficheros en la Carpeta de Inicio de Windows:

--------------------------------------------

O4 - Startup: desktop.ini

O4 - Startup: desktop.ini



Llamadas en el WIN.INI y SYSTEM.INI:

------------------------------------



Contenido del CONFIG.SYS:

-------------------------



Contenido del AUTOEXEC.BAT:

---------------------------



Contenido del WINSTART.BAT:

---------------------------



Contenido del HOSTS:

--------------------

[dida]

por favor vean la imagen adjunta



saludos

[msc hotline sat]

Esto lo ha de controlar el ELISTARA actual o se trata de alguna nueva variante del winantivirpro2006, malware bien conocido...



Pero bajate la ultima version 12.98





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 28-12-2006

[dida]

gracias por responder



ya mande la muestra que me pidio elistara, ahora el informe:



Thu Dec 28 19:46:26 2006

EliStartPage v12.98 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\GQFEBI.EXE.Muestra EliStartPage v12.98

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GQFEBI.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado

Entrada Eliminada [HKLM\...\Run] "GQFEBI"="c:\windows\system32\gqfebi.exe gqfebi"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Dec 28 19:47:47 2006

EliStartPage v12.98 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Dec 28 19:54:07 2006

EliStartPage v12.98 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\Downloaded Program Files\IALDR32.INF --> Eliminado, Dialer-InstantAccess (inf)

[msc hotline sat]

Recibida muestra. Se implementa su control y eliminacikn en la 12.99 de hoy, PERO DEBERA ARRANCAR EN MODO SEGURO PARA LANZARLO Y QUE LO VEA !!!



saludpos



ms, 29-12-2006

[dida]

desde ayer no se me ha presentado ningun problema,

y hoy ejecute el elistara en modo seguro



gracias maestro wn, te admiro



aqui va:





Fri Dec 29 14:17:57 2006

EliStartPage v12.99 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Muestras\GQFEBI.EXE.MUESTRA ELISTARTPAGE V12.98 --> Eliminado, NaviPromo (dropper)

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 31-12-2006