virus messenger (SOLUCIONADO)

vladmartin · Mensaje por **vladmartin** » 16 Feb 2007, 00:27

Lamentablemente cometi el error de clickar en el link de la pagina y ahora tengo el virus.
He descargado la utilidad HijackThis y la he ejecutado.
El report es el siguiente:

Logfile of HijackThis v1.99.1
Scan saved at 23:27:39, on 15/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\RunDll32.exe
C:\ARCHIV~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\Dit.exe
C:\Archivos de programa\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\vsnpstd.exe
C:\Archivos de programa\Telefonica\bin\sprtcmd.exe
C:\Archivos de programa\DAEMON Tools SearchBar\Search.exe
C:\WINDOWS\system32\dllvirtual.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Archivos de programa\CA\eTrust Antivirus\InoRpc.exe
C:\Archivos de programa\CA\eTrust Antivirus\InoRT.exe
C:\Archivos de programa\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\ARCHIV~1\COMMON~1\X10\Common\x10nets.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Vlad\Mis documentos\Mis archivos recibidos\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Archivos de programa\DAEMON Tools SearchBar\search.dll
O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\es\msntb.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Archivos de programa\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\ARCHIV~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Archivos de programa\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\sprtcmd.exe" /P Telefonica
O4 - HKLM\..\Run: [WhenUSearch] "C:\Archivos de programa\DAEMON Tools SearchBar\Search.exe"
O4 - HKLM\..\Run: [WhenUSearchWHSE] "C:\Archivos de programa\DAEMON Tools SearchBar\whse.exe"
O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\dllvirtual.exe
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es\msnappau.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.es/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138262241171
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138267141796
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\ARCHIV~1\COMMON~1\X10\Common\x10nets.exe

Cual es el siguiente paso??

Gracias.

Nuker · Mensaje por **Nuker** » 16 Feb 2007, 00:32

El siguiente paso es este:

Entre en modo seguro, haga Fix Checked a estas:

C:\Archivos de programa\DAEMON Tools SearchBar\Search.exe
O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\dllvirtual.exe
O4 - HKLM\..\Run: [WhenUSearch] "C:\Archivos de programa\DAEMON Tools SearchBar\Search.exe"
O4 - HKLM\..\Run: [WhenUSearchWHSE] "C:\Archivos de programa\DAEMON Tools SearchBar\whse.exe"

Pase ELISTARA en modo seguro también.

Guarda el archivo en su escritorio y lo ejecuta en Modo Seguro. Le genarara un log en Unidad C, con nombre de infosat.txt copie contenido y peguelo aqui para ver resultados.

ELISTARA: http://www.zonavirus.com/descargas/elistara.asp

Modo Seguro: http://www.zonavirus.com/articulos/como ... fallos.asp

ENVIENOS MUESTRA DE ESTA: C:\WINDOWS\system32\dllvirtual.exe

Como Enviar?: viewtopic.php?f=2&t=45334

vladmartin · Mensaje por **vladmartin** » 16 Feb 2007, 00:52

dispongo de varias undidades aparte de C: y un disco externo

He de ejecutar la utilidad Elistara en cada una de ellas?

Es posible que tambien esten infectados?

vladmartin · Mensaje por **vladmartin** » 16 Feb 2007, 00:54

Ok una vez realizado en C: el report es el siguiente:

Thu Feb 15 23:58:13 2007

EliStartPage v13.34 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 15 23:59:45 2007

EliStartPage v13.34 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Guitar Pro 5\rse\fx\fmod\DSP_LOWPASS.DLL --> Eliminado, Dumaru BDoor-CCT

C:\Archivos de programa\MSN Toolbar\01.02.1001.2\es\AU_SETUPH.DLL --> Eliminado, NavHelper (BHO)

Nuker · Mensaje por **Nuker** » 16 Feb 2007, 00:56

Pues de preferencia si, comentanos los resultados hasta ahorita y actualiza Windows.

Windows Update:

https://support.microsoft.com/es-es/help/12373/windows-update-faq

vladmartin · Mensaje por **vladmartin** » 16 Feb 2007, 01:06

En el resto de unidades no se han encontrado virus.

Como puedo enviar muestra del archivo dllvirtual.exe??

Supuestamente ahora despues de actualizar windows no deberia haber rastro del virus?

Muchisimas gracias

Nuker · Mensaje por **Nuker** » 16 Feb 2007, 01:17

dllvirtual.exe parece ser una nueva variante del ya conocido DADOBRA y MSN parece ser afectado.

COMO ENVIAR?: viewtopic.php?f=2&t=45334

Al enviar espera respuesta de algun moderador, la muestra sera subida a alguna de las herramientas ya conocidas como ELISTARA y asi podras completar la eliminacion total del virus. Si tienes dudas o problemas al enviar contactenos.

Se le dijo eliminar esta clave: O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\dllvirtual.exe

Para que no corriera el virus, mencionemos si nota cambio. en el msn si no es así espera a la actualización de ELISTARA. Saludos.

vladmartin · Mensaje por **vladmartin** » 16 Feb 2007, 01:30

El sistema no me permite enviar el archivo dllvirtual.exe

Me dice que la extension exe no esta permitida

El problema parece haberse solucionado.

Almenos ahora el msn no reenvia el link del virus

Muchas gracias por la ayuda.

Nuker · Mensaje por **Nuker** » 16 Feb 2007, 01:32

Mientras haces el envio desactiva el residente del antivirus, asi no te lo interceptara...

Y recuerda poner la clave VIRUS en el Winrar/Winzip, asi hotmail o tu correo tampoco lo interceptara...

Mensaje por **msc hotline sat** » 16 Feb 2007, 07:36

Efectivamente, como se indica en viewtopic.php?f=5&t=764 ,envianos el DLLVIRTUAL.EXE en un ZIP o RAR on password VIRUS.

saludos
ms, 16-02-2007

vladmartin · Mensaje por **vladmartin** » 17 Feb 2007, 11:57

He procedido al envió del archivo dllvirtual.exe para su examen.

Me podrian explicar que es lo que realiza exactamente este tipo de troyano en mi pc?

He leido algunos posts y he visto que reenvia contraseñas o algo asi.

Gracias

vladmartin · Mensaje por **vladmartin** » 17 Feb 2007, 12:20

He vuelto a realizar el hijackthis (por si acaso) y adjunto el report a ver si ven algo sospechoso aun.

Logfile of HijackThis v1.99.1
Scan saved at 11:31:37, on 17/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\RunDll32.exe
C:\ARCHIV~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\Dit.exe
C:\Archivos de programa\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\vsnpstd.exe
C:\Archivos de programa\Telefonica\bin\sprtcmd.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Archivos de programa\CA\eTrust Antivirus\InoRpc.exe
C:\Archivos de programa\CA\eTrust Antivirus\InoRT.exe
C:\Archivos de programa\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\ARCHIV~1\COMMON~1\X10\Common\x10nets.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\DAEMON Tools SearchBar\Search.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Vlad\Mis documentos\Mis archivos recibidos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Archivos de programa\DAEMON Tools SearchBar\search.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Archivos de programa\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\ARCHIV~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Archivos de programa\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\sprtcmd.exe" /P Telefonica
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.es/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138262241171
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138267141796
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\ARCHIV~1\COMMON~1\X10\Common\x10nets.exe

Nuker · Mensaje por **Nuker** » 17 Feb 2007, 18:39

Efectivamente al hacer click al link, el caza passwords, roba informacion como contraseñas de tarjeta de credito, cualquier compra hecha online puede resultar afectada, cualquier informacion como tarjetas de credito etc. son reenviadas, encriptadas al hacker en cuestion. Aun eliminado el virus cualquier informacion que haya sido enviado no puede ser recuperado.

------------

HJT

Elimine esta en Modo Seguro:

O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Archivos de programa\DAEMON Tools SearchBar\search.dll

Mensaje por **msc hotline sat** » 18 Feb 2007, 21:06

Mira la descripción del Dadobra, en el primer Tema del DLLVIRTUAL: viewtopic.php?f=5&t=16599

saludos
ms, 18-02-2007

vladmartin · Mensaje por **vladmartin** » 19 Feb 2007, 19:19

Por lo que he leido el proximo elistara estara previsto para hoy a las 20:00h.

Espero pueda estar solucionado el tema lo mas brevemente posible.

Este es un gran foro. Muchas gracias por la ayuda prestada.

Espero impaciente noticias suyas.

Un saludo

Mensaje por **lucl** » 19 Feb 2007, 21:18

ya tienes la ultima version de la herramienta, pasala y peganos el resultado como ya sabes, saludos

vladmartin · Mensaje por **vladmartin** » 19 Feb 2007, 21:18

He probado la nueva version de Elistara (aunque no he podido pasarla en modo seguro pues ahora mismo no puedo reiniciar el pc).

Aun asi parece haber detectado el dllvirtual.exe (dllvirtual.vir) y lo ha eliminado.

Adjunto el report de elistara.

Necesitan algun otro archivo o report para examinar?

Sat Feb 17 12:33:44 2007
EliStartPage v13.35 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Exploración):
Explorando Unidad D:\

	  Sat Feb 17 12:34:27 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

	  Sat Feb 17 12:34:31 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\

	  Sat Feb 17 12:34:33 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad H:\
H:\Programas\Codecs\CODEC PACK V5.57 ADVANCED.EXE --> AutoExtraible

	  Mon Feb 19 20:17:59 2007
EliStartPage v13.36  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinSys%\LogFiles"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Feb 19 20:19:26 2007
EliStartPage v13.36  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\DLLVIRTUAL.VIR --> Eliminado, Spy.Banker.BYU

	  Mon Feb 19 20:23:42 2007
EliStartPage v13.36  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

	  Mon Feb 19 20:24:34 2007
EliStartPage v13.36  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

	  Mon Feb 19 20:24:37 2007
EliStartPage v13.36  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad H:\
H:\Programas\Codecs\CODEC PACK V5.57 ADVANCED.EXE --> AutoExtraible

Muchas gracias!!

Mensaje por **lucl** » 19 Feb 2007, 21:28

No pide mas muestras a enviar asi que si esta limpio si, no obstante no esta de mas que lo pases en modo seguro aunque ya solo es por prevencion, nos pegas el log y asi msc lo dara por solucionado, saludos :D

Mensaje por **msc hotline sat** » 20 Feb 2007, 11:16

Ya es suficiente, pues el ELISTARA detiene el proceso vírico en marcha y así puede eliminar el fichero, al no estar en uso.

"Mon Feb 19 20:19:26 2007
EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\DLLVIRTUAL.VIR --> Eliminado, Spy.Banker.BYU "

Otra cosa es a veces con algún RootKit y otras hierbas, pero este no opone resistencia.

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos
ms, 20-02-2007