mi log(algo relacionado con GDNOT2904.exe) (TERMINADO)

[Stiggzab]

Logfile of HijackThis v1.99.1
Scan saved at 17:26:45, on 20/04/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\VideoraiPodConverter\VideoraiPodConverter.exe
C:\WINDOWS\System32\svehost.exe
C:\WINDOWS\System32\kernels32.exe
C:\Archivos de programa\DAEMON Tools\daemon.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\System32\clcl4.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\dlh9jkd1q5.exe
C:\Archivos de programa\BitTornado\btdownloadgui.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\dlh9jkd1q5.exe
C:\Archivos de programa\Microsoft Office\Office10\WINWORD.EXE
C:\Archivos de programa\BitTornado\btdownloadgui.exe
C:\WINDOWS\System32\dlh9jkd1q5.exe
C:\WINDOWS\System32\msiexec.exe
F:\Manu\Team Antivirus\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\System32\tmp42.tmp.dll
O2 - BHO: (no name) - {294baf4a-74b6-444c-ad42-5dedae057ca4} - C:\WINDOWS\system32\ntioA32.dll
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Archivos de programa\Pando Networks\Pando\PandoIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus1.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\System32\lsasss.exe
O4 - HKLM\..\Run: [VideoraiPodConverter] C:\Archivos de programa\VideoraiPodConverter\VideoraiPodConverter.exe -t
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Intel system tool] C:\WINDOWS\System32\svehost.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [BootService] rundll32.exe "C:\WINDOWS\byvuvs.dll",realset
O4 - HKLM\..\Run: [clcl4] C:\WINDOWS\System32\clcl4.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus1.exe" /WinStart
O4 - HKCU\..\Run: [WhenUSave] "C:\Archivos de programa\Save\Save.exe"
O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs:  
O20 - Winlogon Notify: ntioA32 - C:\WINDOWS\SYSTEM32\ntioA32.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe

[Claudia34]

Pues antes de que te digan que hay en el log, te aviso que te faltan los services pack 1 y 2 de win xp mas todas las actualizaciones necesarias hasta la fecha. Porque sino va a ser un coladero para todo tipo de bichos, y hay que solucionar los problemas de la raiz para que el margen de infectarse por algun bicho sea el minimo posible, y eso sumado a la cultura minima de seguridad que debe de haber como por ejemplo no abrir e-mails de personas que nos envian que no conocemos o estamos inseguros de su procedencia, tambien no descargar cualquier archivo o software que haya en internet. Siempre usar el sentido comun. Saludos.

[Nuker]

Tiene un poco de todo ...

Envie muestras de estos ficheros para analizar:
C:\WINDOWS\System32\svehost.exe
C:\WINDOWS\System32\kernels32.exe
C:\WINDOWS\System32\clcl4.exe
C:\WINDOWS\System32\dlh9jkd1q5.exe
C:\WINDOWS\system32\ntioA32.dll
C:\WINDOWS\System32\lsasss.exe
C:\WINDOWS\byvuvs.dll
C:\WINDOWS\System32\tmp42.tmp.dll

Como Enviar?: viewtopic.php?f=2&t=45334
....................
Elimine estas claves en Modo Seguro:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\System32\tmp42.tmp.dll
O2 - BHO: (no name) - {294baf4a-74b6-444c-ad42-5dedae057ca4} - C:\WINDOWS\system32\ntioA32.dll
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\System32\lsasss.exe
O4 - HKLM\..\Run: [Intel system tool] C:\WINDOWS\System32\svehost.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [BootService] rundll32.exe "C:\WINDOWS\byvuvs.dll",realset
O4 - HKLM\..\Run: [clcl4] C:\WINDOWS\System32\clcl4.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Archivos de programa\Save\Save.exe"
O20 - AppInit_DLLs:
O20 - Winlogon Notify: ntioA32 - C:\WINDOWS\SYSTEM32\ntioA32.dll
....................
En Modo Seguro ejecuta Elistara y Elitriip, al terminar te crearan un log en Unidad C, con el nombre de infosat.txt copias contenido y pegas.

Elistara: http://www.zonavirus.com/descargas/elistara.asp
Elitriip: http://www.zonavirus.com/descargas/elitriip.asp

Nos comenta. Saludos.

Modo Seguro: http://www.zonavirus.com/articulos/como ... fallos.asp

[Stiggzab]

ya envie eso a la cuenta

de momento bien...veremos

en fin,creo que debo un [b]GRACIAS[/b]

[lucl]

Pues el lunes lo analizaran todo y te diran algo al respecto, saludos

[msc hotline sat]

Solo hemos recibido un AUTORUN.INF que necesitamos saber si está en disco duro, CD o pendrive, para obrar en consecuencia

Los demas ficheros pedidos no los hemos recibido. Los ha enviado ???

saludos
ms, 23-04-2007

[Stiggzab]

envie el AUTORUN,que originalmente estaba en G:
el INFOSAT yo juraria que lo envie,pero de todas maneras

Fri Apr 20 23:49:14 2007
EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
[WinLogon\Notify\NTIOA32]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\NTIOA32.DLL
 a "virus@satinfo.es". Gracias.
C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE --> Eliminado Clicker.Agent.JH
C:\WINDOWS\WEB\RELATED.HTM --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\KERNELS32.EXE.Muestra EliStartPage v13.80
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\KERNELS32.EXE --> Eliminado 
C:\ARCHIVOS DE PROGRAMA\SAVE\SAVE.EXE --> Eliminado SaveNow
C:\ARCHIVOS DE PROGRAMA\SAVE\SAVEUNINST.EXE --> Eliminado SaveNow
C:\ARCHIVOS DE PROGRAMA\VVSN\VVSN.EXE --> Eliminado SaveNow
Por favor, envienos una muestra del fichero
C:\Muestras\TMPA.TMP.DLL.Muestra EliStartPage v13.80
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\TMPA.TMP.DLL --> Eliminado 
C:\WINDOWS\SYSTEM32\DLH9JKD1Q8.EXE --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "ATIPTA"="C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
Eliminada Class, "{67C55A8D-E808-4CAA-9EA7-F77102DE0BB6}" -> C:\WINDOWS\System32\tmpA.tmp.dll
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Fri Apr 20 23:50:35 2007
EliTriIP v3.49  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Por favor, envienos una muestra del fichero
"G:\Autorun.inf" a "virus@satinfo.es". Gracias.

	  Fri Apr 20 23:51:23 2007
EliStartPage v13.80  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\BYVUVS.DLL --> Eliminado, Trojan.Agent.AGV
C:\WINDOWS\SYSTEM32\TMP5C.TMP.DLL --> Eliminado, Obfuscator.C
C:\WINDOWS\SYSTEM32\LSASSS.EXE --> Eliminado, Clicker.Agent.JH
C:\WINDOWS\SYSTEM32\TMP11.TMP.DLL --> Eliminado, Obfuscator.C
C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\HPZTSB05.EXE --> Eliminado, Clicker.Agent.JH
C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor
C:\Archivos de programa\Archivos comunes\Real\Update_OB\REALSCHED.EXE --> Eliminado, Clicker.Agent.JH
C:\Archivos de programa\QuickTime\QTTASK.EXE --> Eliminado, Clicker.Agent.JH
C:\Archivos de programa\Winamp\WINAMPA.EXE --> Eliminado, Clicker.Agent.JH
C:\Archivos de programa\MessengerPlus! 3\MSGPLUS1.EXE --> Eliminado, Clicker.Agent.JH
C:\Archivos de programa\iTunes\ITUNESHELPER.EXE --> Eliminado, Clicker.Agent.JH
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP25\A0007552.EXE --> Eliminado, Clicker.Agent.JH
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP28\A0010384.EXE --> Eliminado, SaveNow
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP28\A0010385.EXE --> Eliminado, SaveNow
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP30\A0010579.EXE --> Eliminado, SaveNow
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP30\A0010580.EXE --> Eliminado, SaveNow
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP31\A0010758.DLL --> Eliminado, KeyLogger.FL
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP35\A0011578.DLL --> Eliminado, KeyLogger.FL
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP36\A0011717.EXE --> Eliminado, Clicker.Agent.JH
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP38\A0023042.EXE --> Eliminado, SaveNow
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP38\A0023043.EXE --> Eliminado, SaveNow
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP42\A0024736.DLL --> Eliminado, Obfuscator.C
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP42\A0024759.DLL --> Eliminado, Obfuscator.C
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP42\A0025427.DLL --> Eliminado, Trojan.Agent.AGV
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027509.DLL --> Eliminado, Obfuscator.C
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027510.EXE --> Eliminado, Clicker.Agent.JH
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027512.EXE --> Eliminado, SaveNow
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027513.EXE --> Eliminado, SaveNow
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027514.EXE --> Eliminado, SaveNow
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027521.DLL --> Eliminado, Trojan.Agent.AGV
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027522.DLL --> Eliminado, Obfuscator.C
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027523.EXE --> Eliminado, Clicker.Agent.JH
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027524.DLL --> Eliminado, Obfuscator.C
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027525.EXE --> Eliminado, Clicker.Agent.JH
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027526.EXE --> Eliminado, CyDoor
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027527.EXE --> Eliminado, Clicker.Agent.JH
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027528.EXE --> Eliminado, Clicker.Agent.JH
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027529.EXE --> Eliminado, Clicker.Agent.JH
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027530.EXE --> Eliminado, Clicker.Agent.JH
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027531.EXE --> Eliminado, Clicker.Agent.JH

	  Fri Apr 20 23:56:33 2007
EliStartPage v13.80  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\Manu\Team Antivirus\backups\BACKUP-20070420-234724-424.DLL --> Eliminado, Obfuscator.C

	  Fri Apr 20 23:57:24 2007
EliStartPage v13.80  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\

y el otro,era un archivo que estaba en C:\WinLogon\NTIOA32.DLL
que lo comprimi en .rar pero no me dejo mandarlo porque tenia virus
y en cuanto a C:\Muestras\TMPA.TMP.DLL y el C:\Muestras\KERNELS32.EXE no se porque no lo he enviado.no se si me olvide o algo pasaria

edito:ahora me acuerdo,hay algo que va mal,yo creo que estaba mal de antes,pongamos,medio mes.el raton se me atasca y le tengo que dar sacudidas para que se mueva.es como si se quedara quieto,no se si tiene que ver,pero por si acaso...

[Nuker]

Envienos esas muestras, y claro que tienen virus si no no se las pediriamos. Menciona que no lo deja enviar aun comprimido, establecio una contraseña ? Debe de comprimirlo con contraseña VIRUS y asi el mail no se lo detendra.

[Stiggzab]

estoy mirando aver como pongo contraseña pero no se muy bien...

por lo que he leido abro el .rar y doy a CNTRL+P y meto la contraseña pero no me sale ningun asterisco como tiene que salir



edito:creo que ya esta,ahora lo envio

[msc hotline sat]

Con el WINRAR vaya a Opciones avanzadas y alli podrá empaquetar con passwrod VIRUS



saludos



ms, 24-04-2007

[Stiggzab]

ya lo mande el dia anterior,puse en el mismo mensaje que me faltaban tres archivos,porque los borre o no se

que pase un admin y elimine los mensajes que tengo doblados,que no puedo editarlos

[msc hotline sat]

Recibidos 6 ficheros son downloaders y troyanos que pasamos a controlar con el ELISTARA de hoy, 13.83



A partir de las 20 h GMT de hoy podrá descargarlo para evaluacion desde:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 25-04-2007

[Stiggzab]

resumiendo,lo que tengo que hacer es usar el elistara y enviaros el infosat?

[msc hotline sat]

Eso es pruebelo, que ya hay la 13.85



y nos postea el contenido de C:\infosat.txt , gracias



saludos



ms, 26-04-2007

[Stiggzab]

me voy de puente,yo por mi lo haria hoy.espero que no pase nada si lo envio el domingo a eso de las 22:00h



lo siento por la tardanza

[msc hotline sat]

No, solo que si lo hubieras hecho hubieramos podido atenderte antes de irnos nosotros tambien antes de irnos, pero bueno, el miercoles volveremos al trabajo... si Dios quiere.



saludos



ms, 27-04-2007

[Stiggzab]

debo hacerlo en modo seguro o en modo normal?

seguro?

[msc hotline sat]

Siempre mejor hacerlo arrancando en modo seguro, aunque no sea imprescindible.



saludos



ms, 30-04-2007

[Stiggzab]

ahora te explico...me sale al iniciar windows que hay un troyano eliminado,y debo reiniciar para eliminarlo completamente.reinicio(NO RESETEO) y me vuelve a salir

INFOSAT
Mon Apr 30 19:30:00 2007
EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\NTIOA32] -> C:\WINDOWS\SYSTEM32\NTIOA32.DLL
C:\WINDOWS\SYSTEM32\DLH9JKD1Q1.EXE --> Eliminado DownLoader-Small (vxh8jkdq)
Por favor, envienos una muestra del fichero
C:\Muestras\DLH9JKD1Q2.EXE.Muestra EliStartPage v13.86
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DLH9JKD1Q2.EXE --> Eliminado 
C:\WINDOWS\SYSTEM32\DLH9JKD1Q5.EXE --> Eliminado DownLoader-Small(dlh9jkd1q)
Por favor, envienos una muestra del fichero
C:\Muestras\DLH9JKD1Q6.EXE.Muestra EliStartPage v13.86
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DLH9JKD1Q6.EXE --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\DLH9JKD1Q7.EXE.Muestra EliStartPage v13.86
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DLH9JKD1Q7.EXE --> Eliminado 
C:\WINDOWS\SYSTEM32\NTIOA32.DLL --> DownLoader.ConHook.AN Acceso Denegado.
Eliminada Carpeta "%Archivos de Programa%\VVSN"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Apr 30 19:34:09 2007
EliStartPage v13.86  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\NTIOA32] -> C:\WINDOWS\SYSTEM32\NTIOA32.DLL
C:\WINDOWS\SYSTEM32\NTIOA32.DLL --> DownLoader.ConHook.AN Acceso Denegado.
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Apr 30 19:34:27 2007
EliStartPage v13.86  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\SYSTEM32\CLCL4.EXE --> Eliminado, DownLoader.E
C:\WINDOWS\SYSTEM32\NTIOA32.DLL --> Acceso Denegado, DownLoader.ConHook.AN
C:\WINDOWS\SYSTEM32\SVEHOST.EXE --> Eliminado, Trojan.Agent.KQ
C:\Documents and Settings\Ana\Configuración local\Temp\HGKD.EXE --> Eliminado, Trojan.Agent.KQ
C:\Documents and Settings\Mía\Configuración local\Temp\OKEG.EXE --> Eliminado, Trojan.Agent.KQ
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP41\A0024656.EXE --> Eliminado, DownLoader-Small(kernels32)
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP41\A0024657.EXE --> Eliminado, DownLoader-Small(kernels32)
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP41\A0024695.EXE --> Eliminado, DownLoader-Small(kernels32)
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP42\A0024744.EXE --> Eliminado, DownLoader.E
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027511.EXE --> Eliminado, DownLoader-Small(kernels32)
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP43\A0027515.DLL --> Eliminado, JuanSearch(BHO)
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP44\A0038041.EXE --> Eliminado, DownLoader-Small(dlh9jkd1q)
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP44\A0038048.EXE --> Eliminado, DownLoader.E
C:\System Volume Information\_restore{ED99798A-AE11-45CD-B019-0B1742EF204B}\RP44\A0038049.EXE --> Eliminado, Trojan.Agent.KQ
C:\WinLogon\NTIOA32.DLL --> Eliminado, DownLoader.ConHook.AN
C:\Muestras\KERNELS32.EXE.MUESTRA ELISTARTPAGE V13.80 --> Eliminado, DownLoader-Small(kernels32)
C:\Muestras\TMPA.TMP.DLL.MUESTRA ELISTARTPAGE V13.80 --> Eliminado, JuanSearch(BHO)

	  Mon Apr 30 19:39:33 2007
EliStartPage v13.86  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\Manu\Team Antivirus\backups\BACKUP-20070420-234724-226.DLL --> Eliminado, DownLoader.ConHook.AN

	  Mon Apr 30 19:40:10 2007
EliStartPage v13.86  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\

	  Mon Apr 30 19:43:16 2007
EliStartPage v13.86  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\NTIOA32] -> C:\WINDOWS\SYSTEM32\NTIOA32.DLL
C:\WINDOWS\SYSTEM32\NTIOA32.DLL --> DownLoader.ConHook.AN Acceso Denegado.
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Apr 30 19:45:54 2007
EliStartPage v13.86  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\NTIOA32] -> C:\WINDOWS\SYSTEM32\NTIOA32.DLL
C:\WINDOWS\SYSTEM32\NTIOA32.DLL --> DownLoader.ConHook.AN Acceso Denegado.
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Apr 30 19:46:36 2007
EliStartPage v13.86  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Exploración Detenida por el Usuario.

ahora mando muestras de
DLH9JKD1Q2.exe
DLH9JKD1Q6.exe
DLH9JKD1Q7.exe

[msc hotline sat]

Recuerda para ello : viewtopic.php?f=5&t=45334

saludos
ms, 30-04-2007

[Stiggzab]

ahora cada vez que inicio windows me sale el mismo aviso.reinicio,apago y na,me sigue apareciendo...

pruebo con hijack?

[msc hotline sat]

Revisando los logs: El ultimo dice

Mon Apr 30 19:46:36 2007
EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Exploración): 
Explorando Unidad C:\ 
Exploración Detenida por el Usuario.

porque lo detuviste ???

Debe llegar al final !!!

y por otro lado :

"No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto. "

Antes de proseguir, lanza un windowsupdate !!!

Tras ello vuelve a pasar el ELISTARA COMPLETO Y NOS POSTEAS EL INFOPSAT.TXT, QUE VEAMOS LO QUE HA DETECTADO EN LA EXPLORACION ...

MS.

[Stiggzab]

lo cancele porque eso lo hice despues de haber iniciado windows,despues de salir el aviso del troyano(por enesima vez)

[msc hotline sat]

A la vista que no se deja acceder el archivo: C:\WINDOWS\SYSTEM32\NTIOA32.DLL

Arranca con el CD de instalación y pulsa R, para entrar en consola de recuperación, en dicho modo podrás acceder a la carpeta de sistema y copiar el archivo a un disquete, hazlo y luego lo borras del disco duro.

Luego el que has copiado en el disquete, tras arrancar normal, nos lo envías

recuerda: viewtopic.php?f=5&t=45334

saludos
ms, 30-04-2007

[Stiggzab]

1->el cd de instalacion vale si es pirateado?

2->hace una semana o dos,no me lee los disquettes que meto,no se si es fallo de la disquetera

[msc hotline sat]

No debe usarse nada pirata ! pero si te arranca y puedes acceder a la consola de recuperacion, da igual la version y el S.O (XP, W2000, W2003), y mira si encuentras el fichero en cuestion y procedes conforme indicado



Y recuerda no mentar la soga en casa del ahorcado ...



saludos



ms, 1 de Mayo de 2007

[Stiggzab]

he accedido al archivo sin meter cd ni nada :shock: ahora lo envio

[Stiggzab]

edito:creo que te refieres a que no puedo borrarlo

[msc hotline sat]

Pues tanto mejor, parecia que no se podia acceder a él: "C:\WINDOWS\SYSTEM32\NTIOA32.DLL --> DownLoader.ConHook.AN Acceso Denegado. "

mañana, cuando lo recibamos lo analizaremos

saludos
ms, 1 de Mayo de 2007

[Stiggzab]

HOLA!!!necesito que miréis otro mensaje que he mandado con unas claves y unas entradas que necesito que reviséis, pues creo que ahi esta todo el embrollo del asunto!!
he comparado logs y he encontrado algunas entradas que antes no estaban.creo que me acerco. revisadlo plz