Virus MSN! (SOLUCIONADO)

[LordSathan]

Bueno gente... yo de nuevo!

Como realmente me interesan estas cosas estuve ayudando a unos amigos a resolver ciertos problemas con vuestra ayuda claro, en fin!

A un amigo se le metió el virus ese que te invita a ver fotos, algo así como el Fotos_Posse, y bueno, siguiendo los consejos que veo siempre acá, pasamos por la pc, el Elistara, el Elitriip y el HJT..., en fin, acá posteo los resultados... y como el Elistara decía que mande un archivo, bueno, lo mande... ustedes dirán...

El problema por ahora está solucionado, pero me gustaría que me den una opinión definitiva..., no sea que queden rastros...

He aquí los logs:





[b]------------------HJT-----------------------[/b]



Logfile of HijackThis v1.99.1

Scan saved at 0:28:07, on 27/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\sm56hlpr.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe

C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

C:\documents and settings\c\configuración local\temp\~vis0000\fsg_4104.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\bios.exe

C:\ARCHIV~1\MUSICM~1\MUSICM~1\MMDiag.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mim.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Grisoft\AVG7\avgwb.dat

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\c\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.latino.msn.com/0SEESUS/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.latino.msn.com/0SEESUS/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.latino.msn.com/0SEESUS/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\ARCHIV~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKLM\..\Run: [MimBoot] C:\ARCHIV~1\MUSICM~1\MUSICM~1\mimboot.exe

O4 - HKLM\..\Run: [Trickler] "c:\documents and settings\c\configuración local\temp\~vis0000\fsg_4104.exe"

O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Archivos de programa\Ringz Studio\Storm Codec\StormSet.exe" /S /opti

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [bios] C:\WINDOWS\system32\bios.exe

O4 - HKLM\..\Run: [My_Love] C:\Arquivos de programas\My_Love.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxpt160YYAR

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-us\msntabres.dll.mui/229?38903f401dc44cbbb131d4fb7dc5a93d

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-us\msntabres.dll.mui/230?38903f401dc44cbbb131d4fb7dc5a93d

O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.04\AMVConverter\grab.html

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.04\MediaManager\grab.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)

O9 - Extra 'Tools' menuitem: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{569C73C3-1574-40FD-9E0F-E44D1AE35B2F}: NameServer = 200.51.211.7 200.51.212.7

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe



[b]------------------------Elistara-Elitriip--------------------[/b]



Sun May 27 00:47:09 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\BIOS.EXE.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\BIOS.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3CJPEG.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3HTMLMU.DLL --> MyWebSearch Acceso Denegado.

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3POPSWT.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3PSSAVR.SCR --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3REPROX.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3RESTUB.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3SCRCTR.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3WPHOOK.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\M3HTML.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\M3OUTLCN.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\M3SKIN.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\MWSBAR.DLL --> MyWebSearch Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\MWSOEMON.EXE --> MyWebSearch Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\MWSOEPLG.DLL --> MyWebSearch Acceso Denegado.

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\MWSOESTB.DLL --> MyWebSearch Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\SRCHASTT\1.BIN\MWSSRCAS.DLL --> MyWebSearch Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3HTMLMU.DLL --> MyWebSearch Acceso Denegado.

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3HTMLMU.DLL --> MyWebSearch Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "bios"="C:\WINDOWS\system32\bios.exe"

Entrada Eliminada [HKLM\...\Run] "My Web Search Bar"="rundll32 C:\ARCHIV~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S"

Entrada Eliminada [HKCU\...\Run] "MyWebSearch Email Plugin"="C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe"

Entrada Eliminada [HKLM\...\Run] "MyWebSearch Email Plugin"="C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe"

Entrada Eliminada [HKLM\...\Run] "Trickler"=""c:\documents and settings\c\configuración local\temp\~vis0000\fsg_4104.exe""

Eliminada Class, "{00A6FAF1-072E-44CF-8957-5838F569A31D}" -> C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

Eliminada Class, "{00A6FAF6-072E-44CF-8957-5838F569A31D}" -> C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

Eliminada Class, "{07B18EA1-A523-4961-B6BB-170DE4475CCA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{07B18EA3-A523-4961-B6BB-170DE4475CCA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{07B18EA9-A523-4961-B6BB-170DE4475CCA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{07B18EAB-A523-4961-B6BB-170DE4475CCA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminada Class, "{3DC201FB-E9C9-499C-A11F-23C360D7C3F8}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3HTMLMU.DLL

Eliminada Class, "{3E720452-B472-4954-B7AA-33069EB53906}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3HTML.DLL

Eliminada Class, "{53CED2D0-5E9A-4761-9005-648404E6F7E5}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3POPSWT.DLL

Eliminada Class, "{7473D292-B7BB-4F24-AE82-7E2CE94BB6A9}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3SKIN.DLL

Eliminada Class, "{7473D294-B7BB-4F24-AE82-7E2CE94BB6A9}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3SKIN.DLL

Eliminada Class, "{7473D296-B7BB-4F24-AE82-7E2CE94BB6A9}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3SKIN.DLL

Eliminada Class, "{8E6F1832-9607-4440-8530-13BE7C4B1D14}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3POPSWT.DLL

Eliminada Class, "{938AA51A-996C-4884-98CE-80DD16A5C9DA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3SCRCTR.DLL

Eliminada Class, "{98D9753D-D73B-42D5-8C85-4469CDA897AB}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3HTMLMU.DLL

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Class, "{9FF05104-B030-46FC-94B8-81276E4E27DF}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3SCRCTR.DLL

Eliminada Class, "{A9571378-68A1-443D-B082-284F960C6D17}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3POPSWT.DLL

Eliminada Class, "{ADB01E81-3C79-4272-A0F1-7B2BE7A782DC}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3OUTLCN.DLL

Eliminada Carpeta "%Archivos de Programa%\FunWebProducts"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun May 27 00:51:23 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\MSN Messenger\RICHED20.DLL --> Eliminado, MyWebSearch

C:\Archivos de programa\MyWebSearch\bar\1.bin\F3HTMLMU.DLL --> Acceso Denegado, MyWebSearch

C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL.VIR --> Acceso Denegado, MyWebSearch

C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSOEMON.EXE.VIR --> Acceso Denegado, MyWebSearch

C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSOEPLG.DLL --> Acceso Denegado, MyWebSearch

C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSOESTB.DLL.VIR --> Acceso Denegado, MyWebSearch

C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL.VIR --> Acceso Denegado, MyWebSearch

C:\Documents and Settings\c\Configuración local\Temp\~vis0000\FSG_4104.EXE --> Acceso Denegado, Gator Gain

C:\Maxi\prog musica\Guitar Pro 5\rse\fx\fmod\DSP_LOWPASS.DLL --> Eliminado, Dumaru BDoor-CCT

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.15.INF --> Eliminado, MyWebSearch(inf)

C:\WINDOWS\system32\F3PSSAVR.SCR --> Eliminado, MyWebSearch



Sun May 27 01:22:36 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sun May 27 01:22:38 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Maxi\Linux\Geek - (Especial Cursos #9 - 200 Cursos - Programação - Linux - Cracking - Etç) - Ripped By Aeternum\essencias\hack\AUTORUN.INF --> Eliminado, BackDoor.CMQ (inf)







Saludos y gracias por su tiempo!









[b]LordSathan[/b] :twisted:

[msc hotline sat]

Pasaste antes el HJT que las utilidades, con lo qu el analisis de poco sirve !



Pero de lo que quede, mira de eliminar:





R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Archivos de



O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL



O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL



O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\ARCHIV~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S



O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxpt160YYAR



O9 - Extra button: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)

O9 - Extra 'Tools' menuitem: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)



O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBIniti alSetup1.0.0.15.cab





y se ven algunos sospechosos, de los que conviene que nos envies muestra para analizar:



c:\documents and settings\c\configuración local\temp\~vis0000\fsg_4104.exe



C:\WINDOWS\system32\bios.exe





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 27-06-2007

[LordSathan]

Ok muchas gracias por el dato... mañana cuando vea a mi amigo voy a hacer lo que me pide y le envio las muestras!, por cierto el Elistara me decía que envíe

C:\Muestras\BIOS.EXE.Muestra EliStartPage v14.05 y la envié..

Pero mañana le mando C:\WINDOWS\system32\bios.exe

Así que saludos y gracias!







[b]LordSathan[/b] :twisted:

[msc hotline sat]

No !, como que pasaste despues del HJT el ELISTARA, este te copió el fichero a C:\muestras, eliminandolo de C:\WINDOWS\system32\ como dice el HJT...



Lo que debes hacer es repetir el envio a zonavirus@satinfo.es en lugar de virus@satinfo.es como indican las utilidades para los que no son del foro, pues asi tendrás prioridad ya que sin numero de asociado a SATINFO, cada fin de semana se reciben muchos cientos de muestras y hay cola ...



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 27-05-2007

[msc hotline sat]

Recibida muestra de BIOS.EXE pasa a procesos y a primera vista se detecta un Banload que será controlador con el ELISTARA de mañana 14.09, pues el de hoy ya ha sido subido a esta web



saludos



ms, 28-05-2007

[msc hotline sat]

Viendo que no se ha seguido el Tema, ratifico que la version 14.09 controló el BIOS.EXE:



ELISTARA.EXE



---v14.09-(29 de Mayo del 2007) (Muestras de (5)Puper-Ies, Vundo6(notify), BackDoor-CVT "WIN***32.DLL", (3)Swizzor(lop), FakeAlert "*****.DLL", (2)NaviPromo(dropper), MSNSkinner "MESSENGERSKINNERDLL.DLL", Banker.B "SERVICES.EXE", BanLoad.BEJ "BIOS.EXE", DownLoader.Agent.BRF "AFFID.EXE", (3)SpyRealtek "ALCMTR.EXE", (2)PWS-JA "IBM00***.DLL" (4)MalWare.Celular, PWS-NTOS "NTOS.EXE", GTDown "GTDOWNLR_134.OCX", HotBar "HBTHOSTIE.DLL" y Excluido "Winlogon/Notify/!SASWINLOGON" de SUPERAntiSpyware)



y que consecuentemente debió solucionar el problema



Entendiendolo, lo damos por solucionado y procedemos a cerrar el Tema



saludos



ms, 8-06-2007