Worm.Win32.NetSky (SOLUCIONADO)

[erfon]

Hola, necesito ayuda por favoorr...



Hoy me empezó a saltar un cartel q dice:



" Security Warning !

Worm.Win32.NetSky detected on your machine. This virus is distributed via the internet through e-mail and Active-X objects. The worm has its own SMTP engine wich means it gathers e-mails from your local computer and re-distributes itself. In worst cases this worm can allow attackers to access your computer, stealing passwords and personal data.

This process should be removed of your sistem.



Type: Virus

System Affected: Windows 2000, NT, ME, XP, Visa.

Security Risk (0-5): 5

Recomendations: Click yes to remove it from your pc immediately.



Yes No "



En la barra de tareas me aparece un cartel rojo q dice q hay problemas de seguridad, y tambien me parece otro cartel de error cada tanto q dice q se ha detectado un intento de ataque de internet, se abren ventanas del IE7 solas.



Todo estos carteles si le pones aceptar o SI te abre una pagina web q supuestamente te desinfecta la maquina. Al ser un virus supuse q esto es falso asi q la cerré.





Por favor alguien q me de una mano...



Muchas gracias

[flacoroo]

bajate estos archivos y ejecutas los 3 primero, hazlo encendiendo tu compu en modo seguro, claro esta antes en modo normal deshabilita restaurar sistema....



[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url], [url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url], [url=http://www.zonavirus.com/descargas/elibagla.asp]Elibagla[/url] y [url=http://www.zonavirus.com/descargas/elinotif.asp]Elinotif[/url]



despues nos pegas el resultado que se crea en C:infosat.txt

[msc hotline sat]

Pues ya es raro a estas alturas que alguien se infecte con el NetSky, que todos los antivirus controlan...



Y especialmente cuando parece que por otro lado se lo detecta con el mensaje indicado, pero dice algo que despierta sospechas:



"[b][i]This virus is distributed via the internet through e-mail and Active-X objects[/i][/b]"



Lo cual no era asi en las variantes que conociamos, ya que no infectaban a traves de Active-X, solo por e-mail.



Podría que fuera alguna nueva variante, y que realmente se propagara tambien por Active-X, [b]o que fuera un FAKE ALERT[/b], intentando que se ejecutara cuando propone:



" [b][i]Recomendations: Click yes to remove it from your pc immediately.



Yes No [/i][/b]"



lo cual está por ver, pero de momento, ademas de lo indicado por flacoroo, conviene probar el ELINETSA.EXE , que es la utilidad específica para los NetSky conocidos, por si realmente fuera uno de ellos ???



ELINETSA:

http://www.zonavirus.com/datos/descargas/96/ELINETSA.asp



y nos cuentas el resultado, posteando el contenido del c:\infosat.txt resultante.



saludos



ms, 25-12-2007

[msc hotline sat]

Y dandole vueltas al mensaje, por si no fuera lanzado por el antivirus instalado, sino por un FAKE ALERT aun no conocido, prueba el SPROCES.EXE y, aparte del C:\infosat.txt indicado en los post anteriores, posteanos tambien el C:\SCPROLOG.TXT que creará el SPROCES que ahora te pedimos probar:





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



tras probarlo y aparecer las dos ventanas de módulos y procesos, pulsar SALIR y ver que se ha creado el SPROCLOG.TXT y postearnoslo con un copiar y pegar, como respuesta de este Tema, tras lo que lo analizaremos e informaremos



saludos



ms, 25-12-2007

[erfon]

aca están los informes: parece que se solucionó ya que no salen los carteles.



[b]Infosat.txt:[/b]



Tue Dec 25 12:03:09 2007

EliStartPage v15.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\Administrador\Escritorio\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Administrador\Escritorio\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Administrador\Escritorio\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Administrador\Favoritos\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Administrador\Favoritos\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Administrador\Favoritos\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Dec 25 12:06:24 2007

EliStartPage v15.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\CyberLink\PowerDVD\QT3SUPPORT4.DLL --> Eliminado, ISTBar



Nº Total de Directorios: 2448

Nº Total de Ficheros: 19479

Nº de Ficheros Analizados: 7312

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Tue Dec 25 12:07:01 2007

EliStartPage v15.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 296

Nº Total de Ficheros: 8123

Nº de Ficheros Analizados: 460

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Dec 25 12:10:15 2007

EliTriIP v4.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Dec 25 12:10:20 2007

EliTriIP v4.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2447

Nº Total de Ficheros: 19479

Nº de Ficheros Analizados: 6907

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Dec 25 12:11:03 2007

EliTriIP v4.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 296

Nº Total de Ficheros: 8123

Nº de Ficheros Analizados: 367

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Dec 25 12:11:16 2007

EliBagle v10.78 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Dec 25 12:11:19 2007

EliBagle v10.78 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2447

Nº Total de Ficheros: 19479

Nº de Ficheros Analizados: 4738

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Dec 25 12:11:36 2007

EliBagle v10.78 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 296

Nº Total de Ficheros: 8123

Nº de Ficheros Analizados: 228

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







[b]Sproces.txt:[/b]



Tue Dec 25 12:14:35 2007

SProces v2.8b (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.13) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\VTTIMER.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_03\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO8\NERO BACKITUP\NBSERVICE.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\LIB\NMBGMONITOR.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\LIB\NMINDEXINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\LIB\NMINDEXSTORESVR.EXE

D:\ELISTA\SPROCES\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\Internet Download Manager\IDMIECC.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: BDEX System - {C2DE4340-CB68-450F-90CD-9BE1A26739D7} - C:\WINDOWS\domnftwmnf.dll

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe"

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [NodLogin] C:\Archivos de programa\ESET\ESET NOD32 Antivirus\nodlogin.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: Download All Links with IDM - D:\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download FLV video content with IDM - D:\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Download with IDM - D:\Internet Download Manager\IEExt.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} - http://codecs.microsoft.com/codecs/i386/fhg.CAB

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B43FDBFE-F059-48CF-95BE-DD53AA9B18C1}: NameServer = 200.21.200.2,200.21.200.79

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: bvtqfvx - {9295EB18-68F5-45E4-B929-C1C5CC4076DD} - C:\WINDOWS\bvtqfvx.dll

O21 - SSODL: alxvdvm - {D5D0CEED-98A5-4A86-97DE-1875B0A0FB6F} - C:\WINDOWS\alxvdvm.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - Eset - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: {95808DC4-FA4A-4c74-92FE-5B863F82066B} - Cyberlink Corp. - C:\Archivos de programa\CyberLink\PowerDVD\000.fcl



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: VIA Rhine-Family Fast Ethernet Adapter Driver Service (FETND5BV) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5bv.sys

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys











[b]Aparte les dejo mi log del hijackthis:[/b]



Logfile of HijackThis v1.99.1

Scan saved at 12:29:19 p.m., on 25/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe

D:\elista\sproces\SProces.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\Notepad.exe

C:\WINDOWS\system32\Notepad.exe

D:\Hijackthis\HijackThis_1.99.1.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\Internet Download Manager\IDMIECC.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: BDEX System - {C2DE4340-CB68-450F-90CD-9BE1A26739D7} - C:\WINDOWS\domnftwmnf.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [NodLogin] C:\Archivos de programa\ESET\ESET NOD32 Antivirus\nodlogin.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe"

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Download All Links with IDM - D:\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download FLV video content with IDM - D:\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Download with IDM - D:\Internet Download Manager\IEExt.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O17 - HKLM\System\CCS\Services\Tcpip\..\{B43FDBFE-F059-48CF-95BE-DD53AA9B18C1}: NameServer = 200.21.200.2,200.21.200.79

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: bvtqfvx - {9295EB18-68F5-45E4-B929-C1C5CC4076DD} - C:\WINDOWS\bvtqfvx.dll

O21 - SSODL: alxvdvm - {D5D0CEED-98A5-4A86-97DE-1875B0A0FB6F} - C:\WINDOWS\alxvdvm.dll

O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe





vale, gracias.[/b]

[edu1973]

FELIZ NAVIDAD A TODOS

Mi llamo Eduardo y queria comentarles que tengo el mismo virus y que si bien me lo detecta mi ordenador no lo puedo eliminar.

ademas lo he scaneado con un par de antivirus y no me lo detecta, y me aparecen algunos archivos como bloqueados.

Si alguien me puede dar una mano se lo agradeceré.

Un saludo

[erfon]

otra vez han comenzado a salir los carteles, no se que pasa, como puedo sacarlo.. :? :?



Gracias

[flacoroo]

elimina esta entrada con el hijackthis con fix



O2 - BHO: BDEX System - {C2DE4340-CB68-450F-90CD-9BE1A26739D7} - C:\WINDOWS\domnftwmnf.dll



se te olvido bajarte este programa y ejecutarlo



ELINETSA:

http://www.zonavirus.com/datos/descargas/96/ELINETSA.asp





y no se te olvide eliminar todos tus archivos temporales, y repite todos los pasos con el Elistara, elitriip y elinotif pero hazlo encendiendo tu compu en modo seguro......y claro esta deshabilitando restauracion del sistema.....y nuevamente nos pegas el resultado C:infosat.txt

[msc hotline sat]

Enviar los siguientes ficheros para analizar:



C:\WINDOWS\domnftwmnf.dll



C:\WINDOWS\bvtqfvx.dll



C:\WINDOWS\alxvdvm.dll



Tras ello, implementaremos su control y eliminacion, si procede, en las nuevas versiones de muestras utilidades, de lo cual informaremos



recordar:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 26-12-2007

[erfon]

El elinetsa nocrea ninguna informacion en C:\Infosat.txt.





______



INTERVENCION DE ZONAVIRUS: [url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]





Cierto, si no detecta infeccion, el ELINETSA es de una epoca en que la plantilla de las utilidades no creaba informe, solo decia lo que encontraba, y en este caso, que no era en verdad el NetSky, no encontraba ni decia nada.



saludos



ms.



_______





Las muestras las acabe de enviar, menos la primera que no la encontre.



Saludos

[msc hotline sat]

Con el ELISTARA de esta tarde 15.33 pasaremos a controlar estas dos DLL que nos has enviado, que resultan ser adwares y podrían incluso presentar avisos como los FAKE ALERTS.



A partir de las 19 h GMT descargala y pruebala, y esta sí que te creará un infosat.txt, posteanoslo y mira si encuentras el que falta, C:\WINDOWS\domnftwmnf.dll , quizas con un Inicio -> Buscar en todas las carpetas y ficheros...



Es un BHO que si no lo has borrado (flacoroo te decia que eliminaras la clave de carga, pero quizas eliminaste el fichero ??? )



saludos



ms, 27-12-2007

[erfon]

Bueno como dije no lo encontre, no se si fue que lo borre por accidente o algo, de momento dejo el log de infosat:



Thu Dec 27 16:47:59 2007

EliStartPage v15.33 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALXVDVM.DLL --> Eliminado AdWare.Agent.BN

C:\WINDOWS\BVTQFVX.DLL --> Eliminado AdWare.Agent.BN

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Dec 27 16:48:10 2007

EliStartPage v15.33 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2051

Nº Total de Ficheros: 17495

Nº de Ficheros Analizados: 6303

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Dec 27 16:51:09 2007

EliStartPage v15.33 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 290

Nº Total de Ficheros: 7168

Nº de Ficheros Analizados: 451

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Gracias y saludos

[msc hotline sat]

Bien, pues tras ello dinos si persisten los "carteles" o se ha solucionado con lo indicado, gracias



saludos



ms, 28-12-2007

[erfon]

Hola, los carteles ya han dejado de salir y se soluciono-



Muchas gracias.

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 28-12-2007