VIRUS BALLMEAL O ALGO SIMILAR

[DRAGONTRAIDOR]

HOLA, LES ADJUNTO MI HIDJACK, HE INTENTADO VARIAS SOLUCIONES Y NINGUNA ME DETECTA EL PROBLEMA EN REALIDAD. DENTRO DE LOS PROCESOS QUE SE EJECUTAN DESDE QUE INICIO LA PC ESTAN DOS DE IEXPLORE.EXE EN MAYUSCULAS SIN INICIAR EL EXPLORAR DE INTERNET, Y CUANDO TRATO DE TERMINAR LOS PROCESOS APARECE UN: BODYLOCK.EXE Y UN BALLMEAL.EXE QUE HABILITAN DE NUEVA CUENTA EL IEXPLORE.EXE Y ELLOS SE FINALIZAN, OJALA QUE ALGUIEN PEUDA AYUDARME, GRACIAS.



Logfile of HijackThis v1.99.1

Scan saved at 03:31:05 p.m., on 10/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\csrss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\Archivos de programa\Eset\nod32kui.exe

D:\WINDOWS\system32\ctfmon.exe

D:\WINDOWS\system32\CTsvcCDA.exe

D:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

D:\Archivos de programa\Eset\nod32krn.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

D:\WINDOWS\system32\CAPM1RSK.EXE

D:\Archivos de programa\Spyware Doctor\sdhelp.exe

D:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM1SWK.EXE

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\alg.exe

D:\Archivos de programa\Azureus\Azureus.exe

D:\Archivos de programa\Mozilla Firefox\firefox.exe

E:\Utilerias\Antialgo\HijackThis.exe

D:\Archivos de programa\Internet Explorer\iexplore.exe

D:\WINDOWS\system32\taskmgr.exe

d:\archiv~1\intern~1\iexplore.exe

D:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

D:\Documents and Settings\Server\Escritorio\EliNujA.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - D:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - D:\Archivos de programa\Power Translator\Applications\LEC IE Translation Extension.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - D:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [nod32kui] "D:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [E07EXLRD_267890] "D:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "D:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Spyware Doctor] "D:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q

O4 - HKCU\..\Run: [Uniblue Registry Booster] D:\Archivos de programa\Uniblue\Registry Booster\RegistryBooster.exe /S

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8569D715-FF88-44BA-8D1D-AD3E59543DDE} (ActiveReports Viewer2) - http://s-siima.uaa.mx/banco/arview2.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - D:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - D:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe

O23 - Service: NBService - Nero AG - D:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Archivos de programa\Spyware Doctor\sdhelp.exe

[msc hotline sat]

De entrada se ve un fichero que puede ser un driover de impresora Canon o un troyano que usa el mismo nombre, envianos muestra de dicho fichero para analizarlo:



D:\WINDOWS\system32\CAPM1RSK.EXE





recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 11-01-2007