Ayuda, pc lento,troyanos quieren entrar (SOLUCIONADO)

raborda · Mensaje por **raborda** » 09 Ene 2007, 13:58

Compañeros ayuda tengo el ordenador lleno de cositas que no quiero.He probado de todo tengo el bitdefender,el antivir guard, el spyreware y otros que he pasado y no hay manera de quitar lo que os decia:ordenador super lento, la pàgina inicio mbuscas y cada 10 o 15 minutos el antivirus me dice que dos troyanos .exe quieren penetrar.Por favor yo no me atrevo a tocar el registro por eso o lo paso ahber si me ayudais.

Muchas gracias por adelantado.

Logfile of HijackThis v1.99.1

Scan saved at 12:24:48, on 09/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver2\LVCOMS.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Softwin\BitDefender8\bdswitch.exe

C:\archiv~1\softwin\bitdef~1\bdnagent.exe

C:\windows\system32\RUNDDLL32.exe

C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\system32\revisorsystray.exe

C:\windows\system32\IEXPLORER.exe

C:\windows\system32\EXPLORERR.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe

C:\Archivos de programa\Java\jre1.5.0_09\bin\jucheck.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\Archivos de programa\Softwin\BitDefender8\vsserv.exe

c:\archiv~1\softwin\bitdef~1\bdmcon.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\-\Configuración local\Temp\wz685\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mbuscas.com/buscador.php?id=1

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver2\LVCOMS.EXE

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [BDMCon] C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDSwitchAgent] C:\Archivos de programa\Softwin\BitDefender8\\bdswitch.exe

O4 - HKLM\..\Run: [BDNewsAgent] "c:\archiv~1\softwin\bitdef~1\bdnagent.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Rundll32] c:\windows\system32\RUNDDLL32.exe

O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Archivos de programa\TomTom HOME\TomTomHOME.exe" -s

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [Tec] C:\WINDOWS\system32\WINTEC.exe

O4 - HKCU\..\Run: [gStart] C:\Garmin\gStart.exe

O4 - Startup: RevisorSystray.lnk = C:\WINDOWS\system32\revisorsystray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O15 - Trusted Zone: http://www.ecovidrio.es

O16 - DPF: {0638A490-83D3-11D4-9A98-009027713462} (DinaTierraCtl.DinaTierra) - http://w3.mapya.es/dinatierra_v3/Redist/DinaTierraCtl.CAB

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {7BA7BCE2-D359-4407-82D9-CDF9A74C487A} (DownLoadStub Class) - http://hpphoto.com/downloads/DownloadPhotos.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://www.camerfirma.com/nweb/renovaciones/capicom.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} -

O16 - DPF: {E8A4D743-13C0-4E03-A2D9-0C92FE038200} (TragsatecRuntimeVB.TTecRuntimeVBCtl) - http://w3.mapya.es/dinatierra_v3/Redist/RuntimeVB.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{7B9E9600-6D9D-47C6-BA46-A05BA605922E}: NameServer = 195.235.113.3,195.235.96.90

O20 - AppInit_DLLs: sockspy.dll C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender8\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Mensaje por **lucl** » 09 Ene 2007, 14:57

HOla ,de momento y para lo del explorer pasa el elistara en modo seguro, luego peganos el log que te genera en C llamado infosat.txt.

http://www.zonavirus.com/descargas/elistara.asp

y te recuerdo por si acaso

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

suerte y nos cuentas como te va.

raborda · Mensaje por **raborda** » 11 Ene 2007, 11:23

Primero gracias lucl por contestarme e intentar ayudarme.

Ya he pasado el elistar y me ha dicho que ha eliminado 5 virus.

De momento no parece que salga el mbuscas más, ni los troyanos que el antivurus pedia no dejar entrar, pero me sigue yendo lento y de vez en cuando se me apaga el explorer o sea se cierra.Pego el infosat haber que me cuentas gracias.

Fri Jul 01 13:31:01 2005

EliStartPage v9.1 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\-\CONFIG~1\TEMP\ISTSVC.EXE.Muestra EliStartPage v9.1

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ISTSVC\ISTSVC.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "Intel system tool"="C:\WINDOWS\system32\hookdump.exe"

Eliminada Carpeta "%Favoritos%\Adult"

Eliminada Carpeta "%Favoritos%\Favorites"

Eliminada Carpeta "%Favoritos%\Gambling"

Eliminada Carpeta "%Favoritos%\Pharmacy"

Eliminada Carpeta "%Favoritos%\Shopping"

Eliminada Carpeta "%Favoritos%\Software"

Eliminada Carpeta "%Favoritos%\Travel"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 01 13:39:51 2005

EliStartPage v9.1 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

Eliminada Carpeta "%Archivos de Programa%\ISTsvc"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 01 13:42:24 2005

EliStartPage v9.1 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\Documents and Settings\-\Escritorio\avg_setup.exe --> AutoExtraible

C:\RECYCLER\S-1-5-21-1417001333-527237240-725345543-1003\Dc19.exe --> AutoExtraible

C:\WINDOWS\azentretien.dll --> Eliminado, AZESearch ToolBar

C:\WINDOWS\screen.html --> Eliminado, Danger (Spyre)

C:\WINDOWS\system32\wuaueng1.dll --> Eliminado, QHosts-16

C:\WINDOWS\system32\dllcache\wuaueng1.dll --> Eliminado, QHosts-16

Fri Jul 01 13:52:01 2005

EliStartPage v9.1 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\Documents and Settings\-\Escritorio\avg_setup.exe --> AutoExtraible

C:\RECYCLER\S-1-5-21-1417001333-527237240-725345543-1003\Dc19.exe --> AutoExtraible

C:\WINDOWS\system32\wuaueng1.dll --> Eliminado, QHosts-16

Thu Jan 11 09:37:57 2007

EliStartPage v13.06 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\RUNDDLL32.EXE --> Desktoper Renombrado a .VIR

C:\WINDOWS\SYSTEM32\IEXPLORER.EXE --> Eliminado Desktoper

C:\WINDOWS\SYSTEM32\EXPLORERR.EXE --> Eliminado Desktoper

Entrada Eliminada [HKLM\...\Run] "P2P Networking"="C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART"

Entrada Eliminada [HKLM\...\Run] "Rundll32"="c:\windows\system32\RUNDDLL32.exe"

Eliminada Class, "{4D1C4E81-A32A-416B-BCDB-33B3EF3617D3}" -> NULL1

Eliminada Class, "{9BBCF06C-DCD7-495D-80DF-CDD5399D0FF8}" -> NULL1

Eliminada Class, "{C15B7EA2-A360-43E8-A591-5FAEDC7C4E1D}" -> NULL1

Eliminada Class, "{C91E8926-D4BE-4685-99F4-0D996B96BAC0}" -> C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL

Eliminada Class, "{CC7A6223-3759-4075-8CEA-971F5CFC0ED2}" -> NULL1

Página de Inicio de IE, "http://www.mbuscas.com/buscador.php?id=1" --> Eliminada

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 11 09:47:13 2007

EliStartPage v13.06 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\RUNDDLL32.exe.VIR --> Eliminado.

Entrada Eliminada [HKLM\...\Run] "Rundll32"="c:\windows\system32\RUNDDLL32.exe"

Linea Eliminada del HOSTS --> 213.219.251.78 http://www.google.com

Linea Eliminada del HOSTS --> 213.219.251.78 google.com

Linea Eliminada del HOSTS --> 213.219.251.78 http://www.google.co.uk

Linea Eliminada del HOSTS --> 213.219.251.78 google.co.uk

Linea Eliminada del HOSTS --> 213.219.251.78 http://www.google.ca

Linea Eliminada del HOSTS --> 213.219.251.78 google.ca

Linea Eliminada del HOSTS --> 213.219.251.78 http://www.google.es

Linea Eliminada del HOSTS --> 213.219.251.78 google.es

Linea Eliminada del HOSTS --> 213.219.251.78 http://www.google.de

Linea Eliminada del HOSTS --> 213.219.251.78 google.de

Linea Eliminada del HOSTS --> 213.219.251.78 http://www.google.fr

Linea Eliminada del HOSTS --> 213.219.251.78 google.fr

Linea Eliminada del HOSTS --> 213.219.251.78 http://www.google.com.au

Linea Eliminada del HOSTS --> 213.219.251.78 google.com.au

Linea Eliminada del HOSTS --> 213.219.251.79 http://www.yahoo.com

Linea Eliminada del HOSTS --> 213.219.251.79 yahoo.com

Linea Eliminada del HOSTS --> 66.218.75.184 mail.yahoo.com

Linea Eliminada del HOSTS --> 213.219.251.80 http://www.msn.com

Linea Eliminada del HOSTS --> 213.219.251.80 msn.com

Linea Eliminada del HOSTS --> 213.219.251.80 search.msn.com

Linea Eliminada del HOSTS --> 213.219.251.80 http://www.search.msn.com

Linea Eliminada del HOSTS --> 213.219.251.80 go.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 11 09:51:42 2007

EliStartPage v13.06 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Azureus\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\BitTorrent\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Juntador\Juntador 3\BORLNDMM.DLL --> Eliminado, DownLoader.SXS

C:\Archivos de programa\SmartDraw 7\SDOFFICEADDIN.DLL --> Eliminado, BB Bargains

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Archivos de programa\XP Codec Pack\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\-\Escritorio\AVG_SETUP.EXE --> AutoExtraible

C:\Documents and Settings\-\Mis documentos\BITTORRENT-4.1.2-BETA.EXE --> AutoExtraible

C:\Documents and Settings\-\Mis documentos\WINAMP5093_FULL_HAWTHORNE_EMUSIC-7PLUS.EXE --> AutoExtraible

C:\WINDOWS\Downloaded Program Files\AZESEARCH.INF --> Eliminado, AZESearch (inf)

C:\WINDOWS\ServicePackFiles\i386\WEXTRACT.EXE --> Eliminado, Hack-MSN (dropper)

C:\WINDOWS\system32\WEXTRACT.EXE --> Eliminado, Hack-MSN (dropper)

Mensaje por **msc hotline sat** » 11 Ene 2007, 11:49

De entrada tienes estos procesos en uso, que son bicho:

C:\windows\system32\IEXPLORER.exe

C:\windows\system32\RUNDDLL32.exe

Prueba el ELITRIIP:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 11-01-2007

Nota: Y desinstala uno de los dos antivirus que tienes , el ANTIVIR o el BITDEFENDER; no debe haber mas que uno ! ms.

raborda · Mensaje por **raborda** » 12 Ene 2007, 18:58

No encontro nada malo!!!

Fri Jul 01 13:31:01 2005

EliStartPage v9.1 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\-\CONFIG~1\TEMP\ISTSVC.EXE.Muestra EliStartPage v9.1

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ISTSVC\ISTSVC.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "Intel system tool"="C:\WINDOWS\system32\hookdump.exe"

Eliminada Carpeta "%Favoritos%\Adult"

Eliminada Carpeta "%Favoritos%\Favorites"

Eliminada Carpeta "%Favoritos%\Gambling"

Eliminada Carpeta "%Favoritos%\Pharmacy"

Eliminada Carpeta "%Favoritos%\Shopping"

Eliminada Carpeta "%Favoritos%\Software"

Eliminada Carpeta "%Favoritos%\Travel"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 01 13:39:51 2005

EliStartPage v9.1 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

Eliminada Carpeta "%Archivos de Programa%\ISTsvc"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jul 01 13:42:24 2005

EliStartPage v9.1 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\Documents and Settings\-\Escritorio\avg_setup.exe --> AutoExtraible

C:\RECYCLER\S-1-5-21-1417001333-527237240-725345543-1003\Dc19.exe --> AutoExtraible

C:\WINDOWS\azentretien.dll --> Eliminado, AZESearch ToolBar

C:\WINDOWS\screen.html --> Eliminado, Danger (Spyre)

C:\WINDOWS\system32\wuaueng1.dll --> Eliminado, QHosts-16

C:\WINDOWS\system32\dllcache\wuaueng1.dll --> Eliminado, QHosts-16

Fri Jul 01 13:52:01 2005

EliStartPage v9.1 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\Documents and Settings\-\Escritorio\avg_setup.exe --> AutoExtraible

C:\RECYCLER\S-1-5-21-1417001333-527237240-725345543-1003\Dc19.exe --> AutoExtraible

C:\WINDOWS\system32\wuaueng1.dll --> Eliminado, QHosts-16

Thu Jan 11 09:37:57 2007

EliStartPage v13.06 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\RUNDDLL32.EXE --> Desktoper Renombrado a .VIR

C:\WINDOWS\SYSTEM32\IEXPLORER.EXE --> Eliminado Desktoper

C:\WINDOWS\SYSTEM32\EXPLORERR.EXE --> Eliminado Desktoper

Entrada Eliminada [HKLM\...\Run] "P2P Networking"="C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART"

Entrada Eliminada [HKLM\...\Run] "Rundll32"="c:\windows\system32\RUNDDLL32.exe"

Eliminada Class, "{4D1C4E81-A32A-416B-BCDB-33B3EF3617D3}" -> NULL1

Eliminada Class, "{9BBCF06C-DCD7-495D-80DF-CDD5399D0FF8}" -> NULL1

Eliminada Class, "{C15B7EA2-A360-43E8-A591-5FAEDC7C4E1D}" -> NULL1

Eliminada Class, "{C91E8926-D4BE-4685-99F4-0D996B96BAC0}" -> C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL

Eliminada Class, "{CC7A6223-3759-4075-8CEA-971F5CFC0ED2}" -> NULL1

Página de Inicio de IE, "http://www.mbuscas.com/buscador.php?id=1" --> Eliminada

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 11 09:47:13 2007

EliStartPage v13.06 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\RUNDDLL32.exe.VIR --> Eliminado.

Entrada Eliminada [HKLM\...\Run] "Rundll32"="c:\windows\system32\RUNDDLL32.exe"

Linea Eliminada del HOSTS --> 213.219.251.78 http://www.google.com

Linea Eliminada del HOSTS --> 213.219.251.78 google.com

Linea Eliminada del HOSTS --> 213.219.251.78 http://www.google.co.uk

Linea Eliminada del HOSTS --> 213.219.251.78 google.co.uk

Linea Eliminada del HOSTS --> 213.219.251.78 http://www.google.ca

Linea Eliminada del HOSTS --> 213.219.251.78 google.ca

Linea Eliminada del HOSTS --> 213.219.251.78 http://www.google.es

Linea Eliminada del HOSTS --> 213.219.251.78 google.es

Linea Eliminada del HOSTS --> 213.219.251.78 http://www.google.de

Linea Eliminada del HOSTS --> 213.219.251.78 google.de

Linea Eliminada del HOSTS --> 213.219.251.78 http://www.google.fr

Linea Eliminada del HOSTS --> 213.219.251.78 google.fr

Linea Eliminada del HOSTS --> 213.219.251.78 http://www.google.com.au

Linea Eliminada del HOSTS --> 213.219.251.78 google.com.au

Linea Eliminada del HOSTS --> 213.219.251.79 http://www.yahoo.com

Linea Eliminada del HOSTS --> 213.219.251.79 yahoo.com

Linea Eliminada del HOSTS --> 66.218.75.184 mail.yahoo.com

Linea Eliminada del HOSTS --> 213.219.251.80 http://www.msn.com

Linea Eliminada del HOSTS --> 213.219.251.80 msn.com

Linea Eliminada del HOSTS --> 213.219.251.80 search.msn.com

Linea Eliminada del HOSTS --> 213.219.251.80 http://www.search.msn.com

Linea Eliminada del HOSTS --> 213.219.251.80 go.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 11 09:51:42 2007

EliStartPage v13.06 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Azureus\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\BitTorrent\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Juntador\Juntador 3\BORLNDMM.DLL --> Eliminado, DownLoader.SXS

C:\Archivos de programa\SmartDraw 7\SDOFFICEADDIN.DLL --> Eliminado, BB Bargains

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Archivos de programa\XP Codec Pack\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\-\Escritorio\AVG_SETUP.EXE --> AutoExtraible

C:\Documents and Settings\-\Mis documentos\BITTORRENT-4.1.2-BETA.EXE --> AutoExtraible

C:\Documents and Settings\-\Mis documentos\WINAMP5093_FULL_HAWTHORNE_EMUSIC-7PLUS.EXE --> AutoExtraible

C:\WINDOWS\Downloaded Program Files\AZESEARCH.INF --> Eliminado, AZESearch (inf)

C:\WINDOWS\ServicePackFiles\i386\WEXTRACT.EXE --> Eliminado, Hack-MSN (dropper)

C:\WINDOWS\system32\WEXTRACT.EXE --> Eliminado, Hack-MSN (dropper)

Fri Jan 12 17:38:10 2007

EliTriIP v3.02 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Mensaje por **lucl** » 12 Ene 2007, 20:59

Hola, si te encontro te copio

Thu Jan 11 09:47:13 2007

EliStartPage v13.06 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\RUNDDLL32.exe.VIR --> Eliminado.

Entrada Eliminada [HKLM\...\Run] "Rundll32"="c:\windows\system32\RUNDDLL32.exe"

a parte tienes varios logs de diferentes fechas? lo digo por esto

~~[b]~~No encontro nada malo!!!

[i]Fri Jul 01 13:31:01 2005 [/i]---- esto!

EliStartPage v9.1 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\-\CONFIG~1\TEMP\ISTSVC.EXE.Muestra EliStartPage v9.1

a "virus@satinfo.es". Gracias. [/b]

ah y tambien te encontro este otro que te dijo msc

Thu Jan 11 09:37:57 2007

EliStartPage v13.06 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\RUNDDLL32.EXE --> Desktoper Renombrado a .VIR

C:\WINDOWS\SYSTEM32\IEXPLORER.EXE --> Eliminado Desktoper

C:\WINDOWS\SYSTEM32\EXPLORERR.EXE --> Eliminado Desktoper

que te ha limpiado tambien, como te va ahora el pc?

Mensaje por **msc hotline sat** » 14 Ene 2007, 10:10

Aclaro Luci: Nuestras utilidades van acumulando lo realizado por ellas en el fichero C:\infosat.txt para tener un historico de lo detectado y corregido por cualquiera de ellas, en dicho ordenador, y si bien puede borrarse o renombrarse para empezar de nuevo, nos interesa ver el historiuco para saber si persiste el problema, si se ha regenerado, desde cuando se ha detectado, etc.

En este caso lo que vemos es que, entre otras cosas, nos hemos cargado las malwares de las muestras solicitadas:

[quote]Thu Jan 11 09:37:57 2007

EliStartPage v13.06 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\IEXPLORER.EXE --> Eliminado Desktoper

C:\WINDOWS\SYSTEM32\EXPLORERR.EXE --> Eliminado Desktoper

Thu Jan 11 09:47:13 2007

EliStartPage v13.06 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\RUNDDLL32.exe.VIR --> Eliminado. [/quote]

por lo que dinos, como te pregunta Luci, si se han resuelto las anomalias, gracias

saludos

ms, 14-01-2007

Mensaje por **msc hotline sat** » 14 Ene 2007, 11:51

y como curiosidad, fijaros donde os redireccionaba el HOSTS antes de que el ELISTARA eliminara las entradas, cuando se queria entrar al Googe, al MSN, al yahoo, etc...:

resolvia para dichas URL la siguiemte IP: 213.219.251.78

que resultaba ser de una web de Rusia...:

213.219.251.78 RU Russian Federation 48 Moscow City Moscow 55.7522 37.6156 Digital Networks JSC Hosting and Colocation Services

sin comentarios !

ms.

raborda · Mensaje por **raborda** » 15 Ene 2007, 10:24

Gracias a lucl y a msc muchas gracias!!!!

La página de inicio ya se ha ido y los virus que querian entrar cada dos por tres tambien.

Ahora solo queda una cosilla y es que al intentar entrar en segun que pantallas pues el ordenador cierra el explorer pero no en unas pantallas únicas sino en diferentes sin un patrón.

A demás a ver eso de lo de la págin rusa ....quieres decir que han visto mi ordenador o han podido hacer alguna cosa mala desde mi ordenador?????????????

Gracias!!!!

Mensaje por **msc hotline sat** » 15 Ene 2007, 11:17

Lo que es seguro es que no querían hacer nada bueno !

Ahora ya se han eliminado los dos virus de tres foicheros y claves correspondientes, y eliminado el redireccionamiento de las URL en cuestion en el HOSTS.

Si todavía persiste alguna anomalia, posteanos el contenido del HOSTS (está en \windows\system32\drivers\etc) y miraremos que no haya nada raro desconocido

saludos

ms, 15-01-2007

raborda · Mensaje por **raborda** » 15 Ene 2007, 14:13

Msc yo de mayor quiero saber tanto como tuuuu!!!! Muchas gracias por todo pero como dice mi titulo en el hosts no hay nada ni en el lhost, ni network no dice nada .

Gracias.

Mensaje por **msc hotline sat** » 15 Ene 2007, 17:06

pUES LO CELEBRAMOS, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 15-01-2007

NOTA: y nadie nace enseñado... :lol:

Ayuda, pc lento,troyanos quieren entrar (SOLUCIONADO)

Ayuda, pc lento,troyanos quieren entrar (SOLUCIONADO)

mejor pero..............

hay va el infosat despues de pasaar trii

Gracias amigos y tengo miedo!!!

no hay nada en el host