Un vistazo a esto muestras enviadas (SOLUCIONADO)

joxcorr · Mensaje por **joxcorr** » 05 Nov 2007, 03:48

Hola amigos ya hace como 15 días format c: e instale winxp desde cero y quiero le den un vistazo a esto y me den sugerencias, ya envié el fichero muestras a zonavirus@satinfo.es envio tres log hijackthis. InfoSat, YServer

Tue Oct 23 17:56:47 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 forum.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 users.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 shop.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 vodka.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Oct 23 18:02:15 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Oct 23 18:02:27 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

Nº Total de Directorios: 2559

Nº Total de Ficheros: 26099

Nº de Ficheros Analizados: 7600

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

Tue Oct 23 18:06:26 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Oct 23 18:06:29 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 2846

Nº Total de Ficheros: 47420

Nº de Ficheros Analizados: 3397

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Oct 23 18:18:30 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Detectado AUTORUN.INF en la Unidad (G)

open=

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Tue Oct 23 18:18:46 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

Nº Total de Directorios: 87

Nº Total de Ficheros: 761

Nº de Ficheros Analizados: 109

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sat Nov 03 12:29:50 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (G)

Open=Memoria.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sat Nov 03 12:30:17 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

Nº Total de Directorios: 69

Nº Total de Ficheros: 456

Nº de Ficheros Analizados: 119

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sun Nov 04 21:30:12 2007

EliBagle v10.62 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINSYS.EXE.Muestra EliBagle v10.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINSYS.EXE --> Eliminado Bagle

Sun Nov 04 21:30:16 2007

EliBagle v10.62 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 3103

Nº Total de Ficheros: 34757

Nº de Ficheros Analizados: 4863

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

11a4 11a8 WinMain

11a4 11a8 lpCmdLine: '/REGSERVER'

11a4 11a8 Run

11a4 11a8 lpCmdLine: '/REGSERVER'

11a4 11a8 nCmdShow: 10

11a4 11a8 leaving WinMain

Logfile of HijackThis v1.99.1

Scan saved at 21:44:29, on 04/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20583)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ncfpsys.exe

C:\WINDOWS\system32\Memoria.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\SRS Labs\Audio Sandbox\SRSSSC.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\Mozilla Firefox\firefox.exe

D:\internet bajados\ZONAVIRUS\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [Password Protect USB 3.6.1] C:\WINDOWS\system32\ncfpsys.exe

O4 - HKLM\..\Run: [T2W] C:\WINDOWS\system32\Memoria.exe

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SRS Audio Sandbox] "C:\Archivos de programa\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme

O8 - Extra context menu item: &Download all by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: &Download by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Download selected by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{3E0C4D39-FF10-49B5-BAC7-67478A6D195A}: NameServer = 200.89.96.4,200.89.112.2

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SRS Labs License Service - SRS Labs - C:\Archivos de programa\Archivos comunes\SRS Labs Shared\Service\srslabslicenseservice.exe

joxcorr · Mensaje por **joxcorr** » 05 Nov 2007, 04:10

[quote="joxcorr"]Hola amigos ya hace como 15 días format c: e instale winxp desde cero y quiero le den un vistazo a esto y me den sugerencias, ya envié el fichero muestras a zonavirus@satinfo.es envio tres log hijackthis. InfoSat, YServer

Tue Oct 23 17:56:47 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 forum.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 users.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 shop.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 vodka.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Oct 23 18:02:15 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Oct 23 18:02:27 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

Nº Total de Directorios: 2559

Nº Total de Ficheros: 26099

Nº de Ficheros Analizados: 7600

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

Tue Oct 23 18:06:26 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Oct 23 18:06:29 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 2846

Nº Total de Ficheros: 47420

Nº de Ficheros Analizados: 3397

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Oct 23 18:18:30 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Detectado AUTORUN.INF en la Unidad (G)

open=

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Tue Oct 23 18:18:46 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

Nº Total de Directorios: 87

Nº Total de Ficheros: 761

Nº de Ficheros Analizados: 109

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sat Nov 03 12:29:50 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (G)

Open=Memoria.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sat Nov 03 12:30:17 2007

EliStartPage v14.89 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

Nº Total de Directorios: 69

Nº Total de Ficheros: 456

Nº de Ficheros Analizados: 119

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sun Nov 04 21:30:12 2007

EliBagle v10.62 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINSYS.EXE.Muestra EliBagle v10.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINSYS.EXE --> Eliminado Bagle

Sun Nov 04 21:30:16 2007

EliBagle v10.62 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 3103

Nº Total de Ficheros: 34757

Nº de Ficheros Analizados: 4863

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sun Nov 04 21:59:24 2007

EliBagle v10.66 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Sun Nov 04 21:59:26 2007

EliBagle v10.66 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 3103

Nº Total de Ficheros: 34756

Nº de Ficheros Analizados: 4863

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sun Nov 04 21:59:49 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sun Nov 04 21:59:51 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Nov 04 22:00:04 2007

EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Nov 04 22:00:08 2007

EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\WINSYS.EXE.Muestra EliBagle v10.62 --> Eliminado, Malware(winsys)

Sun Nov 04 22:00:34 2007

EliBagle v10.66 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 3099

Nº Total de Ficheros: 34732

Nº de Ficheros Analizados: 4862

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\WinSys.exe --> Eliminado, Malware(winsys)

Nº Total de Directorios: 3099

Nº Total de Ficheros: 34738

Nº de Ficheros Analizados: 7217

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Sun Nov 04 22:01:23 2007

EliBagle v10.66 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Sun Nov 04 22:01:45 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\drivers jox genesis\MSI NX7300GS (NVIDIA GeForce 7300 GS)\winsys.exe --> Eliminado, Malware(winsys)

D:\flash jox USB\VALID WINXP\Nueva carpeta\kb905474_1.5.540.0.exe --> Eliminado, Bifrose(dropper)

Nº Total de Directorios: 3099

Nº Total de Ficheros: 34729

Nº de Ficheros Analizados: 8077

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

D:\internet bajados\J.River.MC.12.0.x.patch\MediaCenter12.exe --> Eliminado, Bifrose(dropper)

D:\internet bajados\J_River_Media_Center_12.0.189_by_El_Cangri16\MediaCenter120189.exe --> Eliminado, Bifrose(dropper)

Sun Nov 04 22:03:42 2007

EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 3021

Nº Total de Ficheros: 49076

Nº Total de Directorios: 3021

Nº de Ficheros Analizados: 2835

Nº de Ficheros Infectados: 4

Nº Total de Ficheros: 49076

Nº de Ficheros Limpiados: 4

Nº de Ficheros Analizados: 2272

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Nº Total de Directorios: 3021

Nº Total de Ficheros: 49072

Nº de Ficheros Analizados: 3568

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Logfile of HijackThis v1.99.1

Scan saved at 21:44:29, on 04/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20583)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ncfpsys.exe

C:\WINDOWS\system32\Memoria.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\SRS Labs\Audio Sandbox\SRSSSC.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\Mozilla Firefox\firefox.exe

D:\internet bajados\ZONAVIRUS\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [Password Protect USB 3.6.1] C:\WINDOWS\system32\ncfpsys.exe

O4 - HKLM\..\Run: [T2W] C:\WINDOWS\system32\Memoria.exe

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SRS Audio Sandbox] "C:\Archivos de programa\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme

O8 - Extra context menu item: &Download all by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: &Download by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Download selected by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{3E0C4D39-FF10-49B5-BAC7-67478A6D195A}: NameServer = 200.89.96.4,200.89.112.2

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SRS Labs License Service - SRS Labs - C:\Archivos de programa\Archivos comunes\SRS Labs Shared\Service\srslabslicenseservice.exe[/quote]

Mensaje por **msc hotline sat** » 05 Nov 2007, 05:33

Pues envienos este fichero sospechoso para analizar:

C:\WINDOWS\system32\ncfpsys.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y como que parece que se mueve por webs maliciosas, instale el siteadvisor:

http://www.siteadvisor.com

y suponemos que ya ha enviado lo que indica el infosat:

C:\Muestras\WINSYS.EXE.Muestra EliBagle v10.62

y si la unidad G: es un pendrive, envienos tambien

lo "Detectado AUTORUN.INF en la Unidad (G) " :

Memoria.exe

Todo envienoslo en la forma arriba indicada, gracias

saludos

ms, 5-11-2007

Mensaje por **msc hotline sat** » 05 Nov 2007, 17:15

Por poco no podemos informarle, pues no ha puesto como referencia su nick en el foro ...

Pero ante una revision de los Temas, lo hemos encontrado, si bien se le avisa que debe siempre poner como referencia su NICK, no su nombre !

Pues este WINSYS.EXE recibido ha resultado ya ser controlado pro el actual ELITRIIP

[quote]http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 5-11-2007

joxcorr · Mensaje por **joxcorr** » 06 Nov 2007, 02:03

Mon Nov 05 19:47:32 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Nov 05 19:47:36 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

Nº Total de Directorios: 33

Nº Total de Ficheros: 329

Nº de Ficheros Analizados: 52

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Nov 05 19:55:22 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Nov 05 19:55:23 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 3360

Nº Total de Ficheros: 35970

Nº de Ficheros Analizados: 7403

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Nov 05 19:58:47 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 3027

Nº Total de Ficheros: 49097

Nº de Ficheros Analizados: 2842

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 06 Nov 2007, 06:02

Es que ya lo había eliminado anteriormente !!!

Sun Nov 04 22:01:45 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\drivers jox genesis\MSI NX7300GS (NVIDIA GeForce 7300 GS)\winsys.exe --> Eliminado, Malware(winsys)

Y dando por solucionado el Tema, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 6-11-2007

Un vistazo a esto muestras enviadas (SOLUCIONADO)

Un vistazo a esto muestras enviadas (SOLUCIONADO)

Re: Un vistazo a esto muestras enviadas