Tengo el Downloader.conhook3 y no puedo eliminarlo

[Ilimitat]

Tengo el Downloader.conhook3 y no puedo eliminarlo.





He pasado el ELISTARA.3009200 con la dll ELINOTIF en la misma carpeta (escritorio)



Al cerrar elistara me dice instalada utilidad ELINOTIF compruebe que es una version actualizada, sino por favor bajeseala etc...





que hago mal ya que no se elimina el conhook3 y el pc va muy lento.

[lucl]

descargate de nuevo las herramientas en cuestion, metelas en la misma carpeta y ejecuta elistara, nos pegas el log, saludos





http://www.zonavirus.com/descargas/elinotif.asp



http://www.zonavirus.com/descargas/elistara.asp

[Ilimitat]

Me lo baje pero sigue diciendo lo mismo y no me quita ese troyano

[Ilimitat]

Thu Sep 20 19:01:00 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 20 19:01:07 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Thu Sep 20 19:04:18 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)



Thu Sep 20 19:04:24 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Thu Sep 20 19:05:52 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 20 19:05:59 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Sep 20 19:07:56 2007

EliStration v3.9 (c)2007 S.G.H. / Satinfo S.L.

-----------------------------------------------

Lista de Acciones (por Acción Directa):



Thu Sep 20 19:07:59 2007

EliStration v3.9 (c)2007 S.G.H. / Satinfo S.L.

-----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Exploración Detenida por el Usuario.



Thu Sep 20 19:11:26 2007

EliStration v3.9 (c)2007 S.G.H. / Satinfo S.L.

-----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"

Exploración Detenida por el Usuario.



Thu Sep 20 19:20:39 2007

EliStration v3.9 (c)2007 S.G.H. / Satinfo S.L.

-----------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"



Thu Sep 20 19:20:43 2007

EliStration v3.9 (c)2007 S.G.H. / Satinfo S.L.

-----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Sep 20 19:22:46 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

El Contenido de la Carpeta Temporal de Windows

"B:\", NO ha sido EliminadoNo detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Detectado AUTORUN.INF en la Unidad (I)

open=Programs\nu2menu\nu2menu.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (X)

open=Programs\nu2menu\nu2menu.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Thu Sep 20 19:23:02 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Detectada Posible Infección del Spam-MailBot.

Detectada Posible Infección del Proxy.Wopla.AG



Thu Sep 20 19:25:34 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

El Contenido de la Carpeta Temporal de Windows

"B:\", NO ha sido EliminadoNo detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Detectado AUTORUN.INF en la Unidad (I)

open=Programs\nu2menu\nu2menu.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (X)

open=Programs\nu2menu\nu2menu.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Thu Sep 20 19:25:47 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Archivos de programa\Archivos comunes\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ

D:\Archivos de programa\Archivos comunes\Microsoft Shared\Database Replication\Conflict Viewer\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ

D:\Archivos de programa\netbeans-5.0\enterprise2\jakarta-tomcat-5.5.9\webapps\tomcat-docs\printer\DEVELOPERS.HTML --> Eliminado, MalWare.Celular



Thu Sep 20 19:34:30 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

El Contenido de la Carpeta Temporal de Windows

"B:\", NO ha sido EliminadoNo detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Detectado AUTORUN.INF en la Unidad (I)

open=Programs\nu2menu\nu2menu.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (X)

open=Programs\nu2menu\nu2menu.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectada Posible Infección del Spam-MailBot.

Detectada Posible Infección del Proxy.Wopla.AG

Exploración Detenida por el Usuario.

Detectada Posible Infección del Spam-MailBot.

Detectada Posible Infección del Proxy.Wopla.AG



EliNotify v1.7.09.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Desinstalado EliNotif.dll



Thu Sep 20 19:50:06 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)



Thu Sep 20 19:50:22 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"



Fri Sep 21 09:34:20 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)



Fri Sep 21 09:34:34 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Instalada Utilidad "ELINOTIF.DLL"



Fri Sep 21 09:40:48 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)



Fri Sep 21 09:40:57 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.09.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Desinstalado EliNotif.dll



Fri Sep 21 09:59:34 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)



Fri Sep 21 09:59:40 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Jose\Escritorio\CBO_SETUP_4.25.EXE --> Eliminado, DownLoader.Small.EQN

Instalada Utilidad "ELINOTIF.DLL"

[msc hotline sat]

Cuando reinicia tras indicar instalado el ELINOTIF, debe explorarse hasta el final, no detener la exploracion, pues ais impide que se detecte y eliminen ficheros relacionados con el mismo.





Si asi no detecta el fichero sospechoso, envairlnoslo para analizar, y si lo detecta pero no lo puede eliminar, ver si es tras la indicacion de Instalado el Elinotif, y si es asi, procederemos con eliminarlo desde consola de recuperacion, pero ya lo veremos ...



saludos



ms, 21-09-2007

[Ilimitat]

Limpie el INfosat.txt, pase elistart y cancele para que se executara al comenzar. Este es el reporte:



Fri Sep 21 12:44:47 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Sep 21 12:44:52 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"





No encuentra ningun fitchero infectado pero sigue diciendo que estoy infectado por el conhook3

[lucl]

Pues envianoslo y lo analizaremos, te dejo link de modo de envio, saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[Ilimitat]

perdona me olvide de algunas lineas al copiar pegar :(



Fri Sep 21 11:08:56 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Instalada Utilidad "ELINOTIF.DLL"



Fri Sep 21 11:10:05 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Sep 21 11:10:07 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Instalada Utilidad "ELINOTIF.DLL"



Fri Sep 21 12:37:48 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.09.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Desinstalado EliNotif.dll



Fri Sep 21 12:44:47 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Sep 21 12:44:52 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"

[Ilimitat]

gracias por la rapidez pero ¿quando dices enviar a que te refieres a la dll ELINOTIF.DLL?

[msc hotline sat]

No, esta DLL es nuestra ! (ya la tenemos :wink: ) es al fichero que dices detectar con el antivirus :



"sigue diciendo que estoy infectado por el conhook3"



saludos



ms, 21-09-2007

[Ilimitat]

El problema es que no sabemos que fichero es, simplemente cuando acaba la exploración del sistema y se cierra elistara, te da un mensaje que dice: este sistema esta infectado por el downloader conhook3. pero no te indica que fichero, ni te dice nada más.

Saludos.

[msc hotline sat]

No vemos donde el ELISTARA dice esto ...



Revisado el infosat, no se menciona en ninguna parte el CONHOOK, no es el ELISTARA quien lo dice o detecta.



Revisalo y si lo ves, haznos un copiar y pegar señalando donde o una captura de pantalla, gracias



De todos modos, lo que sea que te lo detecte, debe decir nombvre de fichero, a no ser que te lo diga algo que lo detecte en cookies o registro, o que te detenga un intento de intrusion, descarga o generacion antes que infecte al PC, pero vamos, algo de informacion debería dar... :wink:



saludos



ms, 22-09-2007

[Ilimitat]

Te adjunto el pantallazo.

[msc hotline sat]

Esta detección se hizo al pulsar SALIR una vez finalizado el ELISTARA y por lo visto no se encontró la aplicacion que corresponde a las caracteristicas del ConHook, alguna variante nueva desconocida quizas...



Prueba el SPROCES y veremos lo que se esconde al respecto y trataremos de adivinar cual es el marrano, para que nos envies muestra y podamos analizarlo y controlarlo





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y posteanos el contenido del C:\SPROCLOG.TXT :



saludos



ms, 25-09-2007

[Ilimitat]

Aqui esta el log :)



Tue Sep 25 16:05:28 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIV~1\GRISOFT\AVG7\AVGRSSVC.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIV~1\GRISOFT\AVG7\AVGAMSVR.EXE

C:\ARCHIV~1\GRISOFT\AVG7\AVGUPSVC.EXE

C:\WINDOWS\AVGAGENT.EXE

C:\ARCHIV~1\GRISOFT\AVG7\AVGRSSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\GHOST\NGSERVER.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAGENT.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\ARCHIV~1\GRISOFT\AVG7\AVGFWSRV.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\GHOST\BIN\DBSERV.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\GHOST\BIN\RTENG7.EXE

C:\ARCHIV~1\GRISOFT\AVG7\AVGCC.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\DOCUMENTS AND SETTINGS\J.CUTCHET\ESCRITORIO\WINDOWSXP-KB835935-SP2-ESN.EXE

C:\9890CDEFFB54E9B348\I386\UPDATE\UPDATE.EXE

C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

C:\9890CDEFFB54E9B348\I386\UPDATE\FIXCCS.EXE

C:\ARCHIVOS DE PROGRAMA\OKIDATA\UTILIDAD OKI LPR\OKILPR.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\DOCUMENTS AND SETTINGS\J.CUTCHET\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\J.cutchet\Escritorio\ELISTARA.31092007.EXE

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-6u2-windows-i586-jc.cab

O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{12057197-373F-4A7D-B0EB-7ABB3FC2159A}: NameServer = 192.168.1.57,80.58.61.250

O17 - HKLM\System\CCS\Services\Tcpip\..\{6FEED35F-412C-4769-BDB1-75D5FB027B5A}: NameServer = 192.168.1.1,22.168.1.2

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: AVGWLNTF - AVGWLNTF.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: SATINFO - C:\DOCUMENTS AND SETTINGS\J.CUTCHET\ESCRITORIO\ELINOTIF.DLL

O20 - Winlogon Notify: WGALOGON - (no file)

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG7 Remote Support Service (AvgAgent) (avgagent) - Unknown owner - C:\WINDOWS\SYSTEM32\avgagent.exe (file missing)

O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgrssvc.exe

O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgfwsrv.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Team MFP Comm Driver (DgiVecp) - DeviceGuys, Inc. - C:\WINDOWS\SYSTEM32\Drivers\DgiVecp.sys

O23 - Service: hardlock - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\drivers\hardlock.sys

O23 - Service: NetProbe Packet Driver (NetProbe) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\netprobe.sys

O23 - Service: Symantec Ghost Win32 Configuration Server (NGServer) - Symantec Corporation - C:\Archivos de programa\Symantec\Ghost\ngserver.exe

O23 - Service: Netgroup Packet Filter (NPF) - CACE Technologies - C:\WINDOWS\SYSTEM32\drivers\npf.sys

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Radmin Server V3 (RServer3) - Famatech International Corp. - C:\WINDOWS\system32\rserver30\RServer3.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: SVKP - AntiCracking - C:\WINDOWS\system32\SVKP.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

O23 - Service: Aladdin HASP Key (akshasp) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\akshasp.sys

O23 - Service: Aladdin USB Key (aksusb) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\aksusb.sys

O23 - Service: SpeedTouch 121g Wireless USB Adapter Driver (BT4501G) - THOMSON Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\BT4501G.sys

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: mirrorv3 - Famatech International Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\rminiv3.sys

O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec Corporation - C:\Archivos de programa\Symantec\Ghost\bin\dbserv.exe

O23 - Service: NSNDIS5 NDIS Protocol Driver (NSNDIS5) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\system32\NSNDIS5.SYS

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: PEEK5 Protocol Driver (PEEK5) - WildPackets, Inc. - C:\DOCUME~1\JC561~1.CUT\ESCRIT~1\DOWNLO~1\wifi\AIRCRA~1.41\AIRCRA~1.41\win32\PEEK5.SYS

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: RIM Virtual Serial Port v2 (RimVSerPort) - Research in Motion Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\RimSerial.sys

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\WINDOWS\SYSTEM32\%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: ZyDAS ZD1211 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyDAS) (ZD1211U(ZyDAS)) - ZyDAS Technology Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\zd1211u.sys

O23 - Service: ZDPNDIS5 NDIS Protocol Driver (ZDPNDIS5) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\system32\ZDPNDIS5.SYS



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: systemhound collector - Software Innovations UK Limited - C:\Archivos de programa\SystemHound\collector.exe

O23 - Service: systemhound easy-audit site builder - Software Innovations UK Ltd. - C:\Archivos de programa\SystemHound\site_builder.exe

O23 - Service: systemhound scheduler - Software Innovations UK Limited - C:\Archivos de programa\SystemHound\shservice.exe



44 Servicios.

17 de Carga Automatica.

23 de Carga Manual.

4 Deshabilitados.

[msc hotline sat]

Este fichero es sospechoso. Podría estar relacionado con lo que buscamos ... envianoslo para analizar:



C:\9890CDEFFB54E9B348\I386\UPDATE\FIXCCS.EXE





y al mismo tiempo envianos este que no conocemos ni conste como lo que dicen que es:



C:\WINDOWS\system32\SVKP.sys



pretende ser un anticraks y parece que es un Rootkit !



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 25-09-2007

[msc hotline sat]

Detectado nuevo adware en la muestra enviada, SVKP.SYS, Se implementa su control y eliminacion en la nueva version 14.70 del ELISTARA de hoy, que estara disponible a partir de las 19 h GMT en esta web, para evaluacion en el foro de zonavirus



En la enviada en RAR no se han detectado rutinas viricas



saludos



ms, 25-09-2007