Nuevo virus

Responder
jmfagudo
Mensajes: 56
Registrado: 07 Dic 2005, 09:52

Nuevo virus

Mensaje por jmfagudo » 06 Nov 2007, 15:53

Pase el último Elistart como me dijisteis y ha detectado mas virus que no ha podido eliminar.

Decirme que hago por favor, gracias



Tue Nov 06 08:36:25 2007

EliStartPage v14.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Nov 06 08:36:41 2007

EliStartPage v14.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Propietario\Escritorio\virus\QXTRQMJS.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\DYHQHIVU.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\IBCCLRKW.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\LKJRXYDH.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\NYASVLBU.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\XLOTGTYB.EXE --> Acceso Denegado, FotoMoto

C:\WINDOWS\system32\__C0021810.DAT --> Acceso Denegado, Morphine(notify)



Nº Total de Directorios: 12014

Nº Total de Ficheros: 106031

Nº de Ficheros Analizados: 22610

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 5

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.10.25 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c0021810.dat -> Acceso Denegado.

Desinstalado EliNotif.dll

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 06 Nov 2007, 17:29

Si, cuando se resisten y lanzan el mensaje de Acceso denegado, hay tres maneras:



Prueba la mas facil: con el KILLBOX



http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp



sino existe el FIELASSASIN, pero se ha de instalar...





La segunda manera es arrancando con el CD de instalacion, y desde la consola de recuperacion, (desde MSDOS) borrar dicho fichero



y la tercera, mas pesada, es poner el disco duro infectado como esclavo de un ordenador con similar sistema operativo, y arrancando con el master bueno, acceder al infectado y eliminar el fichero.



Es la historia del VUNDO, con tropecientas variantes y cada día mas sofisticado...



saludos



ms, 6-11-2007

jmfagudo
Mensajes: 56
Registrado: 07 Dic 2005, 09:52

Mensaje por jmfagudo » 07 Nov 2007, 19:16

Los ficheros _c00xxxx.dat no los encuentro n el system32

Pego el log



Wed Nov 07 08:39:32 2007

EliStartPage v14.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "DomainService"

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Nov 07 08:39:59 2007

EliStartPage v14.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\HCQULTCS.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\JKBISEEI.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\KTCSFCPK.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\__C00852F8.DAT --> Acceso Denegado, Morphine(notify)



Nº Total de Directorios: 12021

Nº Total de Ficheros: 106103

Nº de Ficheros Analizados: 22614

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 3



Wed Nov 07 08:54:50 2007

EliStartPage v14.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 191

Nº Total de Ficheros: 9185

Nº de Ficheros Analizados: 2292

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.10.25 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c00852F8.dat -> Acceso Denegado.

Desinstalado EliNotif.dll



Wed Nov 07 08:59:05 2007

EliStartPage v14.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Nov 07 17:17:17 2007

EliStartPage v14.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\__C0028139.DAT --> Acceso Denegado.

Eliminado Servicio, "DomainService"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Nov 07 17:17:49 2007

EliStartPage v14.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\DASPGEJC.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\EBCLMDTD.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\UGHMFXTW.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\__C0028139.DAT --> Acceso Denegado, Morphine(notify)



Nº Total de Directorios: 12021

Nº Total de Ficheros: 106128

Nº de Ficheros Analizados: 22620

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 3



Wed Nov 07 17:35:50 2007

EliStartPage v14.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 191

Nº Total de Ficheros: 9186

Nº de Ficheros Analizados: 2292

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.10.25 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c0028139.dat -> Acceso Denegado.

Desinstalado EliNotif.dll



Wed Nov 07 19:03:15 2007

EliStartPage v14.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 07 Nov 2007, 19:29

Descarga la utilidad KILLBOX:



http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp



Luego arranca en modo segur0 y eliminas los ficheros que se resisten indicando "acceso denegado" con dicha utilidad



y nos cuentas el resultado, gracias



saludos



ms, 7-11-2007

jmfagudo
Mensajes: 56
Registrado: 07 Dic 2005, 09:52

Mensaje por jmfagudo » 10 Nov 2007, 11:50

He matado los ficheros _c000.... con el killbox y he vuelta a pasar el Elistar, que sigue detectando muchos virus.

Os he enviado el fichero YUTJCWPN.DLL



Tambien os pego el log

Gracias



Fri Nov 09 18:07:39 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 12086

Nº Total de Ficheros: 108454

Nº de Ficheros Analizados: 21832

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 09 18:20:15 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 192

Nº Total de Ficheros: 9189

Nº de Ficheros Analizados: 2250

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 09 18:21:03 2007

EliStartPage v14.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\__C00D413A.DAT --> Acceso Denegado.

Eliminado Servicio, "DomainService"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Nov 09 18:21:43 2007

EliStartPage v14.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\DGWBSESV.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\ELMRFBJU.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\HUYHDVHQ.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\OUSFFFNS.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\VYEDUQEY.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\XNVBAATS.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\__C00D413A.DAT --> Acceso Denegado, Morphine(notify)



Nº Total de Directorios: 12082

Nº Total de Ficheros: 106413

Nº de Ficheros Analizados: 22671

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 6



Fri Nov 09 18:35:41 2007

EliStartPage v14.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 192

Nº Total de Ficheros: 9189

Nº de Ficheros Analizados: 2292

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.10.25 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c00D413A.dat -> Acceso Denegado.

Desinstalado EliNotif.dll



Fri Nov 09 20:31:47 2007

EliStartPage v14.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Sat Nov 10 11:21:52 2007

EliStartPage v14.99 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "489dfe12"="rundll32.exe "C:\WINDOWS\system32\yutjcwpn.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\YUTJCWPN.DLL.Muestra EliStartPage v14.99

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\YUTJCWPN.DLL --> Eliminado

Eliminada Class, "{89AD4D75-2429-462E-BD4E-443F233F6033}" -> C:\WINDOWS\system32\ohpifyef.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Sat Nov 10 11:23:44 2007

EliStartPage v14.99 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\!KillBox\__C00D413A.DAT --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\LWGGBKVH.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\NQFAEWBQ.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\SHIIUCAK.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\XPMCDAJO.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\__C00FA602.DAT --> Acceso Denegado, Morphine(notify)



Nº Total de Directorios: 12299

Nº Total de Ficheros: 108534

Nº de Ficheros Analizados: 22756

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 5



Sat Nov 10 11:39:48 2007

EliStartPage v14.99 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 193

Nº Total de Ficheros: 9191

Nº de Ficheros Analizados: 2292

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Instalada Utilidad "ELINOTIF.DLL"

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 10 Nov 2007, 18:53

Supongo que ya has enviado el fichero solicitado para analizar:



Por favor, envienos una muestra del fichero

C:\Muestras\YUTJCWPN.DLL.Muestra EliStartPage v14.99



Pues ante la regeneracion de VUNDOS parece que hay una madre que está pariendo, y por mas que matemos a los hijos, no vamos a acabar sino la encontramos



Y podría ser un DPF...



Arranca en modo seguro, lanza el HJT y posteanos su log:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]




[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 10-11-2007

jmfagudo
Mensajes: 56
Registrado: 07 Dic 2005, 09:52

Mensaje por jmfagudo » 11 Nov 2007, 00:42

Logfile of HijackThis v1.99.1

Scan saved at 0:38:40, on 11/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\wbem\wmiprvse.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://es.yahoo.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [StorageGuard] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe"

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\FirstStart.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LGODDFU] "C:\Archivos de programa\lg_fwupdate\fwupdate.exe" blrun

O4 - HKLM\..\Run: [igbn] C:\WINDOWS\system32\igbn.exe

O4 - HKLM\..\Run: [sdr6cw] C:\Archivos de programa\Archivos comunes\SystemDoctor\sdr6cw.exe -c

O4 - HKLM\..\Run: [mav_startupmon] "C:\Archivos de programa\Archivos comunes\WinAntiVirus Pro 2007\mav_startupmon.exe"c

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [USS] "C:\Archivos de programa\USS\USS.exe"

O4 - HKLM\..\Run: [489dfe12] rundll32.exe "C:\WINDOWS\system32\fjqngwbi.dll",b

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [avnort] C:\WINDOWS\system32\serbw.exe

O4 - HKLM\..\RunServices: [ltwob] C:\WINDOWS\system32\formatsys.exe

O4 - HKLM\..\RunServices: [serpe] C:\WINDOWS\system32\formatsys.exe

O4 - HKLM\..\RunServices: [igbn] C:\WINDOWS\system32\igbn.exe

O4 - HKLM\..\RunServices: [kkazcdqacwch] C:\WINDOWS\system32\kkazcdqacwch.exe

O4 - HKLM\..\RunServices: [xbjbti] C:\WINDOWS\system32\xbjbti.exe

O4 - HKLM\..\RunServices: [bnumkmd] C:\WINDOWS\system32\bnumkmd.exe

O4 - HKLM\..\RunServices: [cwl] C:\WINDOWS\system32\cwl.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\Monitor.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [DDC] C:\WINDOWS\system32\lanoammo.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O11 - Options group: [INTERNATIONAL] International*

O12 - Plugin for .csm: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .csml: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .cub: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .cube: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .dx: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .emb: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .embl: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .gau: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .jdx: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .mol: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .mop: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .pdb: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .rxn: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .scr: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .skc: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O12 - Plugin for .spt: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .tgf: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .xyz: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O14 - IERESET.INF: START_PAGE_URL=http://es.yahoo.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://chufita7.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://manu1590.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - http://www.inquiero.com/inquiero/mod/setup/ntractivex118_24.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4400/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{14B03143-F469-4CF1-8388-68C3756016DC}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS1\Services\Tcpip\..\{14B03143-F469-4CF1-8388-68C3756016DC}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS2\Services\Tcpip\..\{14B03143-F469-4CF1-8388-68C3756016DC}: NameServer = 194.179.1.100,194.179.1.101

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0047A64.dat

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Print Spooler Service (ps68euoliubnse6a) - Unknown owner - C:\WINDOWS\system32\ivfikqincfw.exe (file missing)

O23 - Service: Symantec Core LC - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 11 Nov 2007, 08:39

Pues dimos en el clavo, tienes muchos sospechosos y algunos directamente culpables !





Pues envianos estos ficheros para analizar:



C:\WINDOWS\system32\igbn.exe



C:\Archivos de programa\Archivos comunes\SystemDoctor\sdr6cw.exe



C:\Archivos de programa\Archivos comunes\WinAntiVirus Pro 2007\mav_startupmon.exe



C:\WINDOWS\system32\fjqngwbi.dll



C:\WINDOWS\system32\serbw.exe



C:\WINDOWS\system32\formatsys.exe



C:\WINDOWS\system32\kkazcdqacwch.exe



C:\WINDOWS\system32\xbjbti.exe



C:\WINDOWS\system32\bnumkmd.exe



C:\WINDOWS\system32\ivfikqincfw.exe (puede estar oculto)





y elimina estas claves:



O4 - HKLM\..\Run: [sdr6cw] C:\Archivos de programa\Archivos comunes\SystemDoctor\sdr6cw.exe -c



O4 - HKLM\..\Run: [mav_startupmon] "C:\Archivos de programa\Archivos comunes\WinAntiVirus Pro 2007\mav_startupmon.exe"c



O4 - HKLM\..\RunServices: [avnort] C:\WINDOWS\system32\serbw.exe



O4 - HKLM\..\RunServices: [ltwob] C:\WINDOWS\system32\formatsys.exe



O4 - HKLM\..\RunServices: [serpe] C:\WINDOWS\system32\formatsys.exe





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Tras analizar los ficheros que nos envies, informaremos



saludos



ms, 11-11-2007







Nota: Mira algo de lo que parece que tienes:



http://www.enciclopedia-virus.com/virus/vervirus.php?id=1769



(serbw.exe, formatsys.exe, etc)



y estos otros deben ser variantes de los que ya controlamos con el ELITRIIP, porque no los detectaste:



BNUMKMD.EXE, IGBN.EXE



y otros parecen variantes del VUNDO... ya veremos. ms.

jmfagudo
Mensajes: 56
Registrado: 07 Dic 2005, 09:52

Mensaje por jmfagudo » 12 Nov 2007, 15:37

Gracias, vamos a ver si lo conseguimos:

He enviado el fichero ´fjqngwbi.dll´

Los demas no los encuentro.

El SystemDoctor y el WinAntivirus pro 2007, los desinstale por eso a lo mejor no estan.

El igbn.exe, el kkazcdqacwch.exe, recuerdo que ya os lo envie anteriormente, los demas no se, pero no estan y he visualizado todos los ficheros, incluidos los ocultos.



Tambien he eliminado las 5 claves que me deciais.

Espero comentarios

Gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 12 Nov 2007, 16:12

Los ficheros que envies seran analizados y controlados si procede.



Se informará del resultado cuando los recibamos



saludos



ms, 12-11-2007

jmfagudo
Mensajes: 56
Registrado: 07 Dic 2005, 09:52

Mensaje por jmfagudo » 14 Nov 2007, 17:23

Os pego el fichero despues de pasar Elistar



Mon Nov 12 21:57:08 2007

EliStartPage v15.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "489dfe12"="rundll32.exe "C:\WINDOWS\system32\ogsytdng.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\OGSYTDNG.DLL.Muestra EliStartPage v15.01

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OGSYTDNG.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\__C007FB13.DAT --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Mon Nov 12 21:58:34 2007

EliStartPage v15.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\!KillBox\__C00FA602.DAT --> Eliminado, Morphine(notify)

C:\Documents and Settings\Propietario\Escritorio\virus\FJQNGWBI.DLL --> Eliminado, Vundo5

C:\Muestras\KOCONCMT.DLL.MUESTRA ELISTARTPAGE V14.99 --> Eliminado, Vundo5

C:\Muestras\YUTJCWPN.DLL.MUESTRA ELISTARTPAGE V14.99 --> Eliminado, Vundo5

C:\WINDOWS\system32\FJQNGWBI.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\IEKRTULU.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\RCDFBNNA.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\VWKQPYBG.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\XOHSGSBI.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\YLGHXWPQ.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\__C007FB13.DAT --> Acceso Denegado, Morphine(notify)



Nº Total de Directorios: 12179

Nº Total de Ficheros: 104655

Nº de Ficheros Analizados: 22715

Nº de Ficheros Infectados: 11

Nº de Ficheros Limpiados: 10



Mon Nov 12 22:14:29 2007

EliStartPage v15.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 194

Nº Total de Ficheros: 9193

Nº de Ficheros Analizados: 2292

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.10.25 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c007FB13.dat -> Acceso Denegado.

Desinstalado EliNotif.dll



Tue Nov 13 08:23:43 2007

EliStartPage v15.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "489dfe12"="rundll32.exe "C:\WINDOWS\system32\xmdrdshw.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\XMDRDSHW.DLL.Muestra EliStartPage v15.01

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XMDRDSHW.DLL --> Eliminado

Eliminado Servicio, "DomainService"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Nov 13 22:33:05 2007

EliStartPage v15.02 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "489dfe12"="rundll32.exe "C:\WINDOWS\system32\olkfgrkd.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\OLKFGRKD.DLL.Muestra EliStartPage v15.02

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OLKFGRKD.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\__C00282B6.DAT --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Nov 13 22:34:27 2007

EliStartPage v15.02 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\EBYALTVT.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\JGEELULV.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\__C00282B6.DAT --> Acceso Denegado, Morphine(notify)



Nº Total de Directorios: 12181

Nº Total de Ficheros: 104689

Nº de Ficheros Analizados: 22713

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 2

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.10.25 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c00282B6.dat -> Acceso Denegado.

Desinstalado EliNotif.dll



Wed Nov 14 08:49:02 2007

EliStartPage v15.02 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "489dfe12"="rundll32.exe "C:\WINDOWS\system32\ecnceuom.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\ECNCEUOM.DLL.Muestra EliStartPage v15.02

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ECNCEUOM.DLL --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 14 Nov 2007, 17:46

Pues supongo que ya sabes..., como dice el ultimo test, envianos muestra de




[quote]Por favor, envienos una muestra del fichero



C:\Muestras\ECNCEUOM.DLL.Muestra EliStartPage v15.02 [/quote]




y con el Killbox elimina este que no se deja por las buenas:


[quote]C:\WINDOWS\system32\__C00282B6.DAT --> Acceso Denegado[/quote],





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 14-11-2007

jmfagudo
Mensajes: 56
Registrado: 07 Dic 2005, 09:52

Mensaje por jmfagudo » 14 Nov 2007, 22:19

Os pego el log del ultimo Elistar



Wed Nov 14 08:49:02 2007

EliStartPage v15.02 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "489dfe12"="rundll32.exe "C:\WINDOWS\system32\ecnceuom.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\ECNCEUOM.DLL.Muestra EliStartPage v15.02

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ECNCEUOM.DLL --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Nov 14 21:57:44 2007

EliStartPage v15.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "489dfe12"="rundll32.exe "C:\WINDOWS\system32\hokxatdr.dll",b" (Vundo)

C:\WINDOWS\SYSTEM32\HOKXATDR.DLL --> Eliminado Vundo5

Eliminado Servicio, "DomainService"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Nov 14 21:58:35 2007

EliStartPage v15.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\ECNCEUOM.DLL.MUESTRA ELISTARTPAGE V15.02 --> Eliminado, Vundo5

C:\Muestras\OGSYTDNG.DLL.MUESTRA ELISTARTPAGE V15.01 --> Eliminado, Vundo5

C:\Muestras\OLKFGRKD.DLL.MUESTRA ELISTARTPAGE V15.02 --> Eliminado, Vundo5

C:\Muestras\XMDRDSHW.DLL.MUESTRA ELISTARTPAGE V15.01 --> Eliminado, Vundo5

C:\WINDOWS\system32\CJJBRTLL.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\DEOFFQNJ.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\IPQKIFOV.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\ITGBTTLC.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\KFWRJQGQ.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\KGBFUKNP.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\OBHOSMPL.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\PRQQGMST.DLL --> Acceso Denegado, Vundo5

C:\WINDOWS\system32\PYAQSNNF.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\QXVUIXQJ.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\RDXBQBHB.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\TQODIESA.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\UTYAUMRF.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\__C00CC0BE.DAT --> Acceso Denegado, Morphine(notify)



Nº Total de Directorios: 12197

Nº Total de Ficheros: 105261

Nº de Ficheros Analizados: 22748

Nº de Ficheros Infectados: 18

Nº de Ficheros Limpiados: 16

Instalada Utilidad "ELINOTIF.DLL"

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 15 Nov 2007, 07:01

Pues a los ficheros "resistentes" que no se dejan eliminar e indica "ACCESO DENEGADO"



C:\WINDOWS\system32\PRQQGMST.DLL --> Acceso Denegado, Vundo5



C:\WINDOWS\system32\__C00CC0BE.DAT --> Acceso Denegado, Morphine(notify)





eliminelos con el KILLBOX:



http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp



saludos



ms, 15-11-2007

jmfagudo
Mensajes: 56
Registrado: 07 Dic 2005, 09:52

Mensaje por jmfagudo » 15 Nov 2007, 08:43

Ya he matado con el KillBox los ficheros, pero me siguen saliendo las paginas de publicidad en internet y cuanto mas estoy conectado mas.

Espero vuestras recomendacions

Gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 15 Nov 2007, 11:10

Primero comprueba con el ELISTARA que ya no te detecte nada, y comprobado esto lanza un HJT y nos posteas el log actual



saludos



ms, 15-11-2007

jmfagudo
Mensajes: 56
Registrado: 07 Dic 2005, 09:52

Mensaje por jmfagudo » 15 Nov 2007, 18:50

Pego el resultado de Elistar y el Log de HJT:

Thu Nov 15 18:27:20 2007

EliStartPage v15.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "489dfe12"="rundll32.exe "C:\WINDOWS\system32\jyjygixx.dll",b" (Vundo)

C:\WINDOWS\SYSTEM32\JYJYGIXX.DLL --> Eliminado Vundo5

Eliminado Servicio, "DomainService"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Thu Nov 15 18:27:50 2007

EliStartPage v15.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\!KillBox\__C00CC0BE.DAT --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\HCSRHSVR.DLL --> Acceso Denegado, Vundo5

C:\WINDOWS\system32\YDDNCAEF.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\__C0013D0.DAT --> Acceso Denegado, Morphine(notify)



Nº Total de Directorios: 12204

Nº Total de Ficheros: 105330

Nº de Ficheros Analizados: 22736

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 2

Instalada Utilidad "ELINOTIF.DLL"







Logfile of HijackThis v1.99.1

Scan saved at 18:45:00, on 15/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\sfbtimwr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://es.yahoo.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [StorageGuard] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe"

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\FirstStart.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LGODDFU] "C:\Archivos de programa\lg_fwupdate\fwupdate.exe" blrun

O4 - HKLM\..\Run: [igbn] C:\WINDOWS\system32\igbn.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [USS] "C:\Archivos de programa\USS\USS.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [489dfe12] rundll32.exe "C:\WINDOWS\system32\hcsrhsvr.dll",b

O4 - HKLM\..\RunServices: [igbn] C:\WINDOWS\system32\igbn.exe

O4 - HKLM\..\RunServices: [kkazcdqacwch] C:\WINDOWS\system32\kkazcdqacwch.exe

O4 - HKLM\..\RunServices: [xbjbti] C:\WINDOWS\system32\xbjbti.exe

O4 - HKLM\..\RunServices: [bnumkmd] C:\WINDOWS\system32\bnumkmd.exe

O4 - HKLM\..\RunServices: [cwl] C:\WINDOWS\system32\cwl.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Propietario\Escritorio\ELISTARA.24112007.EXE

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\Monitor.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [DDC] C:\WINDOWS\system32\sfbtimwr.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O11 - Options group: [INTERNATIONAL] International*

O12 - Plugin for .csm: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .csml: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .cub: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .cube: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .dx: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .emb: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .embl: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .gau: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .jdx: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .mol: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .mop: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .pdb: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .rxn: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .scr: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .skc: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O12 - Plugin for .spt: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .tgf: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .xyz: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O14 - IERESET.INF: START_PAGE_URL=http://es.yahoo.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://chufita7.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://manu1590.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - http://www.inquiero.com/inquiero/mod/setup/ntractivex118_24.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4400/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{14B03143-F469-4CF1-8388-68C3756016DC}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS1\Services\Tcpip\..\{14B03143-F469-4CF1-8388-68C3756016DC}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS2\Services\Tcpip\..\{14B03143-F469-4CF1-8388-68C3756016DC}: NameServer = 194.179.1.100,194.179.1.101

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0013D0.dat

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Print Spooler Service (ps68euoliubnse6a) - Unknown owner - C:\WINDOWS\system32\ivfikqincfw.exe (file missing)

O23 - Service: Symantec Core LC - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 16 Nov 2007, 10:04

Hay ademas estos ficheros sospechosos, envianoslos para analizar:



C:\WINDOWS\system32\sfbtimwr.exe



C:\WINDOWS\system32\igbn.exe



C:\WINDOWS\system32\igbn.exe



C:\WINDOWS\system32\kkazcdqacwch.exe



C:\WINDOWS\system32\xbjbti.exe



C:\WINDOWS\system32\bnumkmd.exe



C:\WINDOWS\system32\ivfikqincfw.exe



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y por si estuvieran ocultos: https://foros.zonavirus.com/viewtopic.php?f=5&t=13245





Y para estos que no se dejar eliminar, prueba el KILLPROCESS



C:\WINDOWS\system32\HCSRHSVR.DLL



C:\WINDOWS\system32\__c0013D0.dat





http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp





saludos



ms, 16-11-2007

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 16 Nov 2007, 10:05

[quote="msc hotline sat"]Hay ademas estos ficheros sospechosos, envianoslos para analizar:



C:\WINDOWS\system32\sfbtimwr.exe



C:\WINDOWS\system32\igbn.exe



C:\WINDOWS\system32\kkazcdqacwch.exe



C:\WINDOWS\system32\xbjbti.exe



C:\WINDOWS\system32\bnumkmd.exe



C:\WINDOWS\system32\ivfikqincfw.exe



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y por si estuvieran ocultos: https://foros.zonavirus.com/viewtopic.php?f=5&t=13245





Y para estos que no se dejar eliminar, prueba el KILLPROCESS



C:\WINDOWS\system32\HCSRHSVR.DLL



C:\WINDOWS\system32\__c0013D0.dat





http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp





saludos



ms, 16-11-2007[/quote]

jmfagudo
Mensajes: 56
Registrado: 07 Dic 2005, 09:52

Mensaje por jmfagudo » 18 Nov 2007, 22:44

No he encontrado nonguno de los ficheros que me decis que os envie, son los mismos que los del dia 11 y he puesto que se vean todos los tipos de ficheros tal como decis.



El Killbox lo utilizo siempre para matar los que no se dejan, pero siguen apareciendo archivos con virus, publicidad en inetrnet.

El norton me dice que bloquea un Adware.Ezula, cada dos por tres pero no se como localizarlo y eleiminarlo.

Espero vuestra ayuda

Gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 19 Nov 2007, 04:46

Pues mira, al menos este lo tienes en uso:



C:\WINDOWS\system32\sfbtimwr.exe



y no podría estar en uso si no lo tuvieras :wink:



Miralo en modo seguro, por si hubiera un RootKit...



Envianos por lo menos este que lo tieens seguro. (Los demas puedes haberlos borrado dejando las claves...)



saludos



ms, 19-11-2007

jmfagudo
Mensajes: 56
Registrado: 07 Dic 2005, 09:52

Mensaje por jmfagudo » 19 Nov 2007, 21:15

He mirado y luego utilizado el buscador, arrancado en modo seguro y pusto ver todo y no aparece el fichero sfbtimwr.exe.



Decirme por favor que hago.

¿Puedo borrar las claves de los otros?



He visto tambien que cada vez que arranco genera un fichero del tipo _00.....dat que incluso algunas veces desaparece y no tengo que matarlo.

Gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 20 Nov 2007, 07:42

Pues debes tener un RootKit que te lo oculta, pero tenerlo lo tienes si está en uso !



Y recuierda lo que deciamos:


[quote]Y para estos que no se dejar eliminar, prueba el KILLPROCESS



C:\WINDOWS\system32\HCSRHSVR.DLL



C:\WINDOWS\system32\__c0013D0.dat





http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp [/quote]


Y como que ayer implementamos control de nuevos RootKits en el ELISTARA , descargalo y prueba esta nueva version:


[quote]http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]




saludos



ms, 20-11-2007

jmfagudo
Mensajes: 56
Registrado: 07 Dic 2005, 09:52

Mensaje por jmfagudo » 20 Nov 2007, 09:01

Os paso el log del Elistar

Al finalizar me sigue dando el mensaje de

Sistema infectado por Troyano de AppInit



Tue Nov 20 08:41:20 2007

EliStartPage v15.06 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "489dfe12"="rundll32.exe "C:\WINDOWS\system32\vengnjxx.dll",b" (Vundo)

C:\WINDOWS\SYSTEM32\VENGNJXX.DLL --> Eliminado Vundo5

C:\WINDOWS\SYSTEM32\__C00D3390.DAT --> Acceso Denegado.

Eliminado Servicio, "DomainService"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Nov 20 08:41:46 2007

EliStartPage v15.06 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\!KillBox\__C007E04.DAT --> Eliminado, Morphine(notify)

C:\!KillBox\__C00A0CA4.DAT --> Eliminado, Morphine(notify)

C:\!KillBox\__C00B299.DAT --> Eliminado, Morphine(notify)

C:\Documents and Settings\Propietario\Escritorio\satinfovirus\SEFFHOEK.DLL --> Eliminado, Morphine(notify)

C:\Documents and Settings\Propietario\Escritorio\virus\EVTEFXFK.DLL --> Eliminado, Vundo5

C:\Documents and Settings\Propietario\Escritorio\virus\HHOHYCDB.DLL --> Eliminado, Vundo5

C:\Documents and Settings\Propietario\Escritorio\virus\MQWUVPOI.DLL --> Eliminado, Morphine(notify)

C:\Documents and Settings\Propietario\Escritorio\virus\MSRFIBAE.DLL --> Eliminado, Vundo5

C:\Documents and Settings\Propietario\Escritorio\virus\QKTMTDTD.DLL --> Eliminado, Morphine(notify)

C:\Documents and Settings\Propietario\Escritorio\virus\SYHTQFGE.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\AOVBNJGG.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\BHLWJXBK.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\CKRSSIPM.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\ESMCWKNM.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\IQXUGGMK.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\LKTAPADA.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\LTCQUASF.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\MQLFMPKC.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\RLWKAMTW.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\SEFFHOEK.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\TLJATVFO.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\TUEEIUJJ.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\YEVOQUHH.DLL --> Acceso Denegado, Vundo5

C:\WINDOWS\system32\YIATYUBH.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\YMVOXYDB.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\__C00B299.DAT --> Acceso Denegado, Morphine(notify)

C:\WINDOWS\system32\__C00D3390.DAT --> Acceso Denegado, Morphine(notify)



Nº Total de Directorios: 12236

Nº Total de Ficheros: 113490

Nº de Ficheros Analizados: 22785

Nº de Ficheros Infectados: 27

Nº de Ficheros Limpiados: 24

Instalada Utilidad "ELINOTIF.DLL"

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 20 Nov 2007, 09:23

Pues ya casi está...



Solo tiene que proceder con el KILLBOX sobre estos ficheros que indica acceso denegado:



C:\WINDOWS\system32\YEVOQUHH.DLL --> Acceso Denegado, Vundo5

C:\WINDOWS\system32\__C00B299.DAT --> Acceso Denegado, Morphine(notify)

C:\WINDOWS\system32\__C00D3390.DAT --> Acceso Denegado, Morphine(notify)



http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp



Aunque vemos que finaliza con la nota de Instalada la utilidad ELINOTIF.DLL , por lo que estaba a medio proceso, tenía que reiniciar y tras procesar automaticamente con lo programado, dirá Desinstalado el ELINOTIF.DLL , es entonces cuando realmente el proceso ha terminado.



Posteenos de nuevo el contenido del infosat.txt, a ver si ahora al final ya lo dice, y con ello a ver si ha logrado eliminar algo mas de lo que hablamos.





saludos



ms, 20-11-2007

jmfagudo
Mensajes: 56
Registrado: 07 Dic 2005, 09:52

Mensaje por jmfagudo » 20 Nov 2007, 17:39

Los ficheros _C00B299.dat y _C00D3390.dat no estan, ahora ha generado otro que es el _C0078B4C.dat.



La publicidad sigue saliendo en intenet, que puedo hacer?



Os pego el final del Elistar:

EliNotify v1.7.10.25 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c00D3390.dat -> Acceso Denegado.

Desinstalado EliNotif.dll



Tue Nov 20 17:15:21 2007

EliStartPage v15.06 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "489dfe12"="rundll32.exe "C:\WINDOWS\system32\yevoquhh.dll",b" (Vundo)

C:\WINDOWS\SYSTEM32\YEVOQUHH.DLL.VIR --> Eliminado.

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 20 Nov 2007, 17:55

Bueno ya hemos detectado y eliminado un nuevo VUNDO y solo queda este C:\WINDOWS\system32\__c00D3390.dat -> Acceso Denegado.



MIra de eliminarlo con el KILLBOX, como ya sabes.



Por si acaso arranca en modo seguro para ello, no sea que de otra forma, aunque lo eliminaras, quedara en memoria y se regenerara



Cuentanos el resultado, gracias



saludos



ms, 20-11-2007
Última edición por msc hotline sat el 23 Nov 2007, 09:43, editado 1 vez en total.

jmfagudo
Mensajes: 56
Registrado: 07 Dic 2005, 09:52

Mensaje por jmfagudo » 22 Nov 2007, 17:36

El ficheo no aparece, pero si sigue apareciendo paginas de publicidad en internet cuando quiere, decirme por favor como sigo para detectar y eliminar el virus, spay, etc.

Gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 22 Nov 2007, 18:04

Pasa de nuevo el ELISTARA y posteanos nuevo infosat.txt tras ello, a ver si ya no se detecta o aun si.



saludos



ms, 22-11-2007

jmfagudo
Mensajes: 56
Registrado: 07 Dic 2005, 09:52

Mensaje por jmfagudo » 23 Nov 2007, 08:38

Os pego el ultimo log



Fri Nov 23 00:03:50 2007

EliStartPage v15.10 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "DomainService"

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Nov 23 00:04:22 2007

EliStartPage v15.10 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Propietario\Escritorio\satinfovirus\AEWMBSUE.DLL --> Eliminado, JuanSearch(BHO)

C:\Documents and Settings\Propietario\Escritorio\satinfovirus\OLVQETUL.DLL --> Eliminado, JuanSearch(BHO)

C:\Documents and Settings\Propietario\Escritorio\satinfovirus\WCJVVGGB.DLL --> Eliminado, JuanSearch(BHO)

C:\Documents and Settings\Propietario\Escritorio\virus\KLLAVFHW.DLL --> Eliminado, JuanSearch(BHO)

C:\Documents and Settings\Propietario\Escritorio\virus\QYGRLMDC.DLL --> Eliminado, JuanSearch(BHO)

C:\Documents and Settings\Propietario\Escritorio\virus\YCNQAJYO.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\HHKGVTPO.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\KFPFRXRP.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\RXWJPMCD.EXE --> Acceso Denegado, DownLoader.Tiny.ID

C:\WINDOWS\system32\WSCYOQCP.DLL --> Acceso Denegado, Vundo5

C:\WINDOWS\system32\__C00DB1B1.DAT --> Acceso Denegado, Morphine(notify)



Nº Total de Directorios: 12146

Nº Total de Ficheros: 100093

Nº de Ficheros Analizados: 22680

Nº de Ficheros Infectados: 11

Nº de Ficheros Limpiados: 8



Fri Nov 23 00:25:44 2007

EliStartPage v15.10 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 197

Nº Total de Ficheros: 9200

Nº de Ficheros Analizados: 2292

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.10.25 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c00DB1B1.dat -> Acceso Denegado.

Desinstalado EliNotif.dll



Fri Nov 23 00:35:59 2007

EliStartPage v15.10 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "489dfe12"="rundll32.exe "C:\WINDOWS\system32\wscyoqcp.dll",b" (Vundo)

C:\WINDOWS\SYSTEM32\WSCYOQCP.DLL.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\__C00DB1B1.DAT --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.10.25 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c00DB1B1.dat -> Acceso Denegado.

Desinstalado EliNotif.dll

Responder

Volver a “Foro Virus - Cuentanos tu problema”