No puedo eliminar un troyano Agent BOH

sivy2004 · Mensaje por **sivy2004** » 22 Jun 2007, 07:12

Desde ya gracias por la ayuda.

Tengo instalado un archivo kodckod.dll que no puedo eliminar. El antivirus me indica que es un troyano Agent.BOH pero no puedo eliminarlo y aparece el alerta en forma continua.

El AVG lo detecta pero no me permite eliminarlo. El avast me dio un error de archivo no accesible.

Los 2 antispywares no lo eliminaron (si otros 42 bichos y me restablecieron la conexion a Internet que estaba caida)

Les copio mi log:

Logfile of HijackThis v1.99.1

Scan saved at 1:02:48, on 22/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\thomson\Dragdiag.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE

C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.EXE

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe

C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe

C:\Archivos de programa\Palm\Hotsync.exe

C:\Archivos de programa\Windows Desktop Search\WindowsSearchIndexer.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Nero\Nero 7\Nero StartSmart\NeroStartSmart.exe

C:\Archivos de programa\Nero\Nero 7\Core\nero.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\BLZ\Mis documentos\Mis Descargas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {10DB62F2-0642-4970-939F-94EE82ED5546} - c:\windows\system32\kodckod.dll

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Archivos de programa\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\thomson\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [MsgCenterExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\RealOneMessageCenter.exe" -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [L06EXLRD_14790921] "C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE" -m

O4 - HKCU\..\Run: [areslite] "C:\Archivos de programa\Ares Lite Edition\AresLite.exe" -h

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\BLZ\CONFIG~1\Temp\winlogon.exe

O4 - Startup: Deer Hunter 2005 Registration.lnk = C:\Juegos\Deer Hunter 2005\ATR1.EXE

O4 - Startup: Registration Prince of Persia El Alma del Guerrero.LNK = C:\Juegos\Prince of Persia El Alma del Guerrero\Support\Register\RegistrationReminder.exe

O4 - Startup: Registration Prince of Persia T2T.LNK = C:\Juegos\Prince of Persia T2T\Support\Register\RegistrationReminder.exe

O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe

O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe

O4 - Global Startup: HotSync Manager.lnk = C:\Archivos de programa\Palm\Hotsync.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/229?db9ef3774666453d9e685882de16ecdb

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/230?db9ef3774666453d9e685882de16ecdb

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/download/scanner/wlscbase969.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153261232546

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156454080546

O17 - HKLM\System\CCS\Services\Tcpip\..\{02C3334B-BE45-4A48-A829-252CA7D8B302}: NameServer = 200.51.211.7 200.51.212.7

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: oqfdwjyn - C:\WINDOWS\SYSTEM32\kodckod.dll

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

Mensaje por **msc hotline sat** » 22 Jun 2007, 07:23

Ante todo desinstale uno de los dos antivirus que tiene instalado, el AVG o el AVAST, pero no debe haber mas que uno.

Luego envienos esta muestra para analizar:

c:\windows\system32\kodckod.dll

C:\WINDOWS\system32\spoolsvv.exe

y elimine estas claves:

O2 - BHO: (no name) - {10DB62F2-0642-4970-939F-94EE82ED5546} - c:\windows\system32\kodckod.dll

O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\BLZ\CONFIG~1\Temp\winlogon.exe

O20 - Winlogon Notify: oqfdwjyn - C:\WINDOWS\SYSTEM32\kodckod.dll

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 22.06.2007

Mensaje por **msc hotline sat** » 26 Jun 2007, 13:01

Recibidas las muestras, alguna ya se controla y elimina con el actual ELISTARA, y otras pasan a ser implementadas en la version de hoy 14.28, que estará disponible en esta web a partir de las 20 h GMT de hoy

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

SALUDOS

ms, 26-06-2007

sivy2004 · Mensaje por **sivy2004** » 28 Jun 2007, 05:06

Les posteo el infosat.txt

Wed Jun 27 22:05:07 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SPOOLSVV.EXE --> Eliminado Alanchum

C:\WINDOWS\WINSOCK64.DLL --> Eliminado Alanchum(rootkit)

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jun 27 22:25:53 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Wed Jun 27 22:26:08 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\252.TMP --> Eliminado, Alanchum

C:\Archivos de programa\Palm\OCPTASKSHH.DLL --> Eliminado, NavHelper (BHO)

C:\Archivos de programa\Total Video Converter\OPTIMIZEGIF.DLL --> Eliminado, KeyLogger.FL

C:\Documents and Settings\BLZ\Mis documentos\Mis Descargas\backups\BACKUP-20070622-231027-409.DLL --> Eliminado, DownLoader.ConHook

C:\Documents and Settings\BLZ\Mis documentos\Mis Descargas\backups\BACKUP-20070622-231332-802.DLL --> Eliminado, DownLoader.ConHook

C:\Documents and Settings\BLZ\Mis documentos\Mis Descargas\backups\BACKUP-20070622-231544-843.DLL --> Eliminado, DownLoader.ConHook

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Wed Jun 27 23:01:51 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Wed Jun 27 23:01:58 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Mensaje por **msc hotline sat** » 28 Jun 2007, 05:42

Pues envienos este fichero que se resiste, y lo analizaremos:

C:\WINDOWS\system32\KODCKOD.DLL

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 28-06-2007

nota: Veo que ya lo habiamos pedido e indicado que eliminara sus claves de carga... lo hizo ?

[quote]Luego envienos esta muestra para analizar:

c:\windows\system32\kodckod.dll

C:\WINDOWS\system32\spoolsvv.exe

y elimine estas claves:

O2 - BHO: (no name) - {10DB62F2-0642-4970-939F-94EE82ED5546} - c:\windows\system32\kodckod.dll

O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\BLZ\CONFIG~1\Temp\winlogon.exe

O20 - Winlogon Notify: oqfdwjyn - C:\WINDOWS\SYSTEM32\kodckod.dll

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
[/quote]

Diganos si las eliminó y vuelva a lanzar el HJT y postearnos el log actual, a ver si se han regenerado o qué...

ms.

sivy2004 · Mensaje por **sivy2004** » 29 Jun 2007, 05:05

Les acabo de enviar la muestra solicitada.

Efectivamente eliminé las claves indicadas (las del spoolsvv.exe sí fueron eliminadas en esa corrida) , pero estas vuelven a aparecer.

Al correr el elistara el archivo queda marcado como infectado para eliminar en el proximo booteo, cada vez que se ejecuta.

Les posteo el nuevo log

L

ogfile of HijackThis v1.99.1

Scan saved at 22:30:26, on 28/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\BLZ\Mis documentos\Anti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {0B4DA835-7A49-43EC-BB05-7DE0D95C8FC9} - c:\windows\system32\ljjtrvju.dll

O2 - BHO: (no name) - {10DB62F2-0642-4970-939F-94EE82ED5546} - c:\windows\system32\kodckod.dll

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Archivos de programa\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\thomson\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [MsgCenterExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\RealOneMessageCenter.exe" -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\BLZ\Mis documentos\Anti\ELISTARA.07072007.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [L06EXLRD_14790921] "C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE" -m

O4 - HKCU\..\Run: [areslite] "C:\Archivos de programa\Ares Lite Edition\AresLite.exe" -h

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - Startup: Deer Hunter 2005 Registration.lnk = C:\Juegos\Deer Hunter 2005\ATR1.EXE

O4 - Startup: Registration Prince of Persia El Alma del Guerrero.LNK = C:\Juegos\Prince of Persia El Alma del Guerrero\Support\Register\RegistrationReminder.exe

O4 - Startup: Registration Prince of Persia T2T.LNK = C:\Juegos\Prince of Persia T2T\Support\Register\RegistrationReminder.exe

O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe

O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe

O4 - Global Startup: HotSync Manager.lnk = C:\Archivos de programa\Palm\Hotsync.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/229?db9ef3774666453d9e685882de16ecdb

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/230?db9ef3774666453d9e685882de16ecdb

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/download/scanner/wlscbase969.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153261232546

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156454080546

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: oqfdwjyn - C:\WINDOWS\SYSTEM32\kodckod.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

Mensaje por **msc hotline sat** » 29 Jun 2007, 05:12

Voy a examinar el log del HJT, pero mientras, posteenos el actual contenido de c:\infoisat.txt ya que ello es vital para saber lo que le pasa.

saludos

ms, 29-06-2007

Mensaje por **msc hotline sat** » 29 Jun 2007, 05:18

En el log del HJT hay dos ficheros sospechosos:

c:\windows\system32\ljjtrvju.dll

c:\windows\system32\kodckod.dll

De la ultima creo que dice que ya nos ha enviado muestra, pero de la primera quizas no, y ahora ha aparecido, quizas antes la ocultaba algun RootKit que hemos eliminado ...

Envienos la primera tambien, y la analizaremos

No veo ya el Spoolsvv.exe , quizas era esa la causa de no ver el que ahora ha aparecido ???

Cuando la recibamos obraremos en consecuencia, a ver si hoy mismo liquidamos el Tema

Aparte quizas a la vista del infosat.txt, cuando lo postee, podamos aclarar algo mas.

saludos

ms, 29-06-2007

Mensaje por **msc hotline sat** » 29 Jun 2007, 12:23

Respecto a la unica muestra recibida por ahora, la del KODCKOD ya está controlada con el actual ELISTARA/ELINOTIF:

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

Compruebelo y nos informa, recordando enviarnos la otra muestra solicitada, gracias

saludos

ms, 29-06-2007

sivy2004 · Mensaje por **sivy2004** » 30 Jun 2007, 04:35

Les he enviado la segunda muestra.

Disculpen pero había pasado por alto el mensaje que solicitaba el posteo del infosat.

Aquí está (creo que no hemos tenido suerte)

Wed Jun 27 22:05:07 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SPOOLSVV.EXE --> Eliminado Alanchum

C:\WINDOWS\WINSOCK64.DLL --> Eliminado Alanchum(rootkit)

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jun 27 22:25:53 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Wed Jun 27 22:26:08 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\252.TMP --> Eliminado, Alanchum

C:\Archivos de programa\Palm\OCPTASKSHH.DLL --> Eliminado, NavHelper (BHO)

C:\Archivos de programa\Total Video Converter\OPTIMIZEGIF.DLL --> Eliminado, KeyLogger.FL

C:\Documents and Settings\BLZ\Mis documentos\Mis Descargas\backups\BACKUP-20070622-231027-409.DLL --> Eliminado, DownLoader.ConHook

C:\Documents and Settings\BLZ\Mis documentos\Mis Descargas\backups\BACKUP-20070622-231332-802.DLL --> Eliminado, DownLoader.ConHook

C:\Documents and Settings\BLZ\Mis documentos\Mis Descargas\backups\BACKUP-20070622-231544-843.DLL --> Eliminado, DownLoader.ConHook

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Wed Jun 27 23:01:51 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Wed Jun 27 23:01:58 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Thu Jun 28 22:35:18 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Thu Jun 28 22:35:27 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\BLZ\Mis documentos\Anti\backups\BACKUP-20070628-222921-554.DLL --> Eliminado, DownLoader.ConHook

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Fri Jun 29 22:11:48 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Fri Jun 29 22:11:56 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Fri Jun 29 22:26:24 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Fri Jun 29 22:26:29 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Mensaje por **msc hotline sat** » 30 Jun 2007, 08:21

Estamos pendientes que nos envie la segunda muestra solicitada...

c:\windows\system32\ljjtrvju.dll

Cuando la recibamos la monitorizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades

Posiblemente esten relacionados, a veces se complementan y si no se tratan los dos participantes, se regenera... ya veremos

saludos

ms, 30-06-2007

nota: y mientras, este C:\WINDOWS\system32\KODCKOD.DLL , como que ya está considerado malware, y se resiste, muevalo a la papelera y vacie esta, pero hagalo pulsando boton derecho sobre él, CTRX-X para llevarselo, y luego CTRL-V sobre la papelera y despues la vacía. Luego a ver si el ELISTARA ya no lo encuentra... ms.

sivy2004 · Mensaje por **sivy2004** » 01 Jul 2007, 18:03

En el dia de ayer les reenvie la segunda muestra. Espero la hayan recibido.

Intenté el CTRL+X/CTRL-V pero no tuve resultado positivo. El archivo lo corta pero al querer pegarlo en la papelera me da el mensaje de acceso denegado.

Mensaje por **msc hotline sat** » 01 Jul 2007, 18:14

Pruebelo de hacer arrancando en modo seguro, y nos cuenta el resultado, gracias

saludos

ms, 1-07-2007

sivy2004 · Mensaje por **sivy2004** » 01 Jul 2007, 19:48

El procedimiento lo realicé en modo seguro.

Mensaje por **msc hotline sat** » 01 Jul 2007, 20:34

Pues entonces no habrá mas remedio que hacerlo arrancando en consola de recuperacion y borrando dichos ficheros

Te recuerdo que a ello se accede arrancando con el CD de instalacion y pulsando R, luego ir a la carpeta con CD y con DEL borrar los archivos indicados

saludos

ms, 1-03-2007

Mensaje por **msc hotline sat** » 01 Jul 2007, 20:38

Por si no lo recordaras:

Pues arranca con el CD de instalacion, pulsar R para entrar en consola de recuperacion, y una vez en este entorno de DOS escribes:

C: <enter>

CD windows <enter>

CD system32 <enter>

DEL KODCKOD.DLL <enter>

Si tienes algun problema en ello, comentamelo

saludos

ms, 1-07-2007

Mensaje por **msc hotline sat** » 03 Jul 2007, 14:55

Recibida segunda muestra para analizar, es implementada en el ELISTARA 14.33 de hoy, que subiremos a esta web, para pruebas de evaluaiion, antes de las 16 H GMT de hoy

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 3.7.2007

Mensaje por **msc hotline sat** » 03 Jul 2007, 15:28

y A LA VISTA DE QUE NO SE LOGRÓ ELIMINAR FACILMENTE EL KODCKOD.DLL PENSAMOS QUE HAY CLAVES QUE RESTAURAR, por lo que le pedimos que ejecute el .BAT que indicamos entre lineas, seleccionando, copiando y guardando en un fichero al que puede llamar EXPORTA.BAT y luego lo ejecute, y el fichero resultante NOTIFY.TXT, nos lo postee, copiando su contenido y pegandolo en su proximo post de respuesta a este Tema:

_____________________________

regedit /e Notify.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\oqfdwjyn"

______________________________

saludos

ms, 3-07-2007

sivy2004 · Mensaje por **sivy2004** » 03 Jul 2007, 15:37

Disculpenme pero mis conocimientos del tema son demasiado básicos y me perdí en las instrucciones.

A ver si entendí, realizo las tareas en este orden?

1) efectúo el borrado del kodckod.dll en consola de recuperacion

2) ejecuto el elistara version 14.33

3) ejecuto el .bat posteado

Es correcto?

Les agradeceré me confirmen

Disculpen y gracias por su tiempo

Mensaje por **msc hotline sat** » 03 Jul 2007, 16:50

Sí, correcto.

Suponía que ya había eliminado la DLL resistente, pero si no lo ha hecho y tras hacerlo se le regenerara, con lo que resulte de la ejecucion del fichro .BAT veremos como y donde se carga y que funciones emplea para ello de dicha DLL, y podremos atacar por donde le duela :wink:

Hoy, con la 14.33, controlaremos yh eliminaremos la otra muestra: c:\windows\system32\ljjtrvju.dll

y tras analizar el fichero NOTIFY.TXT generado por el EXPORTA.BAT esperamos que podremos rematar el bicho.

saludos

ms, 3-07-2007

sivy2004 · Mensaje por **sivy2004** » 08 Jul 2007, 01:10

Lamento la tardanza pero tuve problemas con mi conexion a Internet.

Les detallo:

1) No pude elimar el archivo en DOS, me indico "acceso denegado"

2) Les posteo el fichero NOTIFY generado por el EXPORTA.BAT

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\oqfdwjyn]

"DLLName"="kodckod.dll"

"Logoff"="WLEventLogoff"

"Logon"="WLEventLogon"

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

3) Les posteo el INFOSAT generado por el Elistara

Wed Jun 27 22:05:07 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SPOOLSVV.EXE --> Eliminado Alanchum

C:\WINDOWS\WINSOCK64.DLL --> Eliminado Alanchum(rootkit)

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jun 27 22:25:53 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Wed Jun 27 22:26:08 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\252.TMP --> Eliminado, Alanchum

C:\Archivos de programa\Palm\OCPTASKSHH.DLL --> Eliminado, NavHelper (BHO)

C:\Archivos de programa\Total Video Converter\OPTIMIZEGIF.DLL --> Eliminado, KeyLogger.FL

C:\Documents and Settings\BLZ\Mis documentos\Mis Descargas\backups\BACKUP-20070622-231027-409.DLL --> Eliminado, DownLoader.ConHook

C:\Documents and Settings\BLZ\Mis documentos\Mis Descargas\backups\BACKUP-20070622-231332-802.DLL --> Eliminado, DownLoader.ConHook

C:\Documents and Settings\BLZ\Mis documentos\Mis Descargas\backups\BACKUP-20070622-231544-843.DLL --> Eliminado, DownLoader.ConHook

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Wed Jun 27 23:01:51 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Wed Jun 27 23:01:58 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Thu Jun 28 22:35:18 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Thu Jun 28 22:35:27 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\BLZ\Mis documentos\Anti\backups\BACKUP-20070628-222921-554.DLL --> Eliminado, DownLoader.ConHook

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Fri Jun 29 22:11:48 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Fri Jun 29 22:11:56 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Fri Jun 29 22:26:24 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Fri Jun 29 22:26:29 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Sat Jun 30 20:10:57 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Sat Jun 30 20:15:44 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Sat Jun 30 20:15:49 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Sat Jul 07 16:48:13 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jul 07 16:48:37 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Sat Jul 07 18:12:07 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Sat Jul 07 18:12:11 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

C:\WINDOWS\system32\LJJTRVJU.DLL --> Acceso Denegado, DownLoader.ConHook

Sat Jul 07 18:33:22 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Sat Jul 07 18:33:25 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

C:\WINDOWS\system32\LJJTRVJU.DLL.VIR --> Eliminado, DownLoader.ConHook

Mensaje por **msc hotline sat** » 08 Jul 2007, 10:31

Bien, pues mañana implementaremos en el ELISTARA/ELINOTIF lasr rutinas para la eliminacion de este dichos KODCKOD.DLL, gracias a la informacion aportada respecto a las funciones de dicha DLL

saludos

ms, 8-07-2007

Mensaje por **msc hotline sat** » 09 Jul 2007, 15:29

Con ELISTARA 14.37 + ELINOTIF correspondiente debe quedar solucionado el problema del KODCKOD.DLL, pudiendo descargarlos para pruebas de evaluacion a partir de las 16 H GMT

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 9-07-2007

sivy2004 · Mensaje por **sivy2004** » 12 Jul 2007, 03:54

Les posteo el Infosat.

Duro el bicho...

Wed Jun 27 22:05:07 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SPOOLSVV.EXE --> Eliminado Alanchum

C:\WINDOWS\WINSOCK64.DLL --> Eliminado Alanchum(rootkit)

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jun 27 22:25:53 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Wed Jun 27 22:26:08 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\252.TMP --> Eliminado, Alanchum

C:\Archivos de programa\Palm\OCPTASKSHH.DLL --> Eliminado, NavHelper (BHO)

C:\Archivos de programa\Total Video Converter\OPTIMIZEGIF.DLL --> Eliminado, KeyLogger.FL

C:\Documents and Settings\BLZ\Mis documentos\Mis Descargas\backups\BACKUP-20070622-231027-409.DLL --> Eliminado, DownLoader.ConHook

C:\Documents and Settings\BLZ\Mis documentos\Mis Descargas\backups\BACKUP-20070622-231332-802.DLL --> Eliminado, DownLoader.ConHook

C:\Documents and Settings\BLZ\Mis documentos\Mis Descargas\backups\BACKUP-20070622-231544-843.DLL --> Eliminado, DownLoader.ConHook

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Wed Jun 27 23:01:51 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Wed Jun 27 23:01:58 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Thu Jun 28 22:35:18 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Thu Jun 28 22:35:27 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\BLZ\Mis documentos\Anti\backups\BACKUP-20070628-222921-554.DLL --> Eliminado, DownLoader.ConHook

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Fri Jun 29 22:11:48 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Fri Jun 29 22:11:56 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Fri Jun 29 22:26:24 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Fri Jun 29 22:26:29 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Sat Jun 30 20:10:57 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Sat Jun 30 20:15:44 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Sat Jun 30 20:15:49 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Sat Jul 07 16:48:13 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jul 07 16:48:37 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

Sat Jul 07 18:12:07 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Sat Jul 07 18:12:11 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

C:\WINDOWS\system32\LJJTRVJU.DLL --> Acceso Denegado, DownLoader.ConHook

Sat Jul 07 18:33:22 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Sat Jul 07 18:33:25 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

C:\WINDOWS\system32\LJJTRVJU.DLL.VIR --> Eliminado, DownLoader.ConHook

Sun Jul 08 23:42:48 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Sun Jul 08 23:43:05 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook

C:\WINDOWS\system32\LJJTRVJU.DLL --> Acceso Denegado, DownLoader.ConHook

Wed Jul 11 10:08:06 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Jul 11 21:15:41 2007

EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Wed Jul 11 21:15:53 2007

EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook3(notify)

C:\WINDOWS\system32\LJJTRVJU.DLL --> Acceso Denegado, DownLoader.ConHook

C:\WINDOWS\system32\LJJTRVJU.DLL.VIR --> Eliminado, DownLoader.ConHook

Wed Jul 11 21:48:16 2007

EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Wed Jul 11 21:48:21 2007

EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KODCKOD.DLL --> Acceso Denegado, DownLoader.ConHook3(notify)

C:\WINDOWS\system32\LJJTRVJU.DLL --> Acceso Denegado, DownLoader.ConHook

Mensaje por **msc hotline sat** » 12 Jul 2007, 05:51

Bueno, pues para estos "resistentes" aplicaremos medidas drasticas:

C:\WINDOWS\system32\KODCKOD.DLL

C:\WINDOWS\system32\LJJTRVJU.DLL

Prueba si los pudieras enviar a la papelera con CTRL-X y CTRL-C y luego vaciar la papelera, pero si no, arranca con el CD de instalacion y pulsa R para entrar en consola de recuepracion, una vez alli es simple, ir al directorio de sistema y borrarlos:

C: <ENTER>

CD WINDOWS <ENTER>

CD SYSTEM32 <ENTER>

DEL KODCKOD.DLL <ENTER>

DEL LJJTRVJU.DLL <ENTER>

Tras ello saca el CDROM y reinicia normalmente.

saludos

ms, 12-07-2007