no se puede conectar al servidor bantai usa ezrael.

eva27 · Mensaje por **eva27** » 07 Ene 2008, 10:29

hola amigos

creo que he cogido un troyano

cuando me conecto con mi explorer a internet me aparece que

he pasado el avast actualizado y no lo elimina

mi long es el siguiente

Logfile of HijackThis v1.99.1

Scan saved at 9:02:41, on 07/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

C:\Archivos de programa\Winamp\Winampa.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE

C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Labtec\Keyboard\V5.1\kbdap32a.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Archivos de programa\Netropa\Onscreen Display\OSD.exe

C:\Archivos de programa\Netropa\InetKb\Inetkb.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Ahead\Nero StartSmart\NeroStartSmart.exe

C:\Archivos de programa\Ahead\nero\nero.exe

C:\WINDOWS\System32\imapi.exe

C:\Archivos de programa\Alwil Software\Avast4\ashSimpl.exe

C:\C\Basura\Nueva carpeta\Nueva carpeta\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = BANTAI USA & EZRAEL [AL - MUKHLIS STUDIO]

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {727205CD-C4A6-4744-9424-4F3E19C71DA6} - c:\windows\system32\datacleno.dll

O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Archivos de programa\HP\Smart Web Printing\SmartWebPrinting.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 9.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [OFFICEKB] C:\Archivos de programa\Labtec\Keyboard\V5.1\kbdap32a.exe

O4 - HKLM\..\Run: [a1qs8] C:\WINDOWS\system32\a1qs8.exe

O4 - HKLM\..\Run: [mcafee] C:\WINDOWS\WIN31.dll.vbs

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [Regscan] C:\WINDOWS\system32\regscan.exe

O4 - HKCU\..\Run: [a1qs8] C:\WINDOWS\system32\a1qs8.exe

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {D83C1BD1-DCBB-11D4-9425-0050BF33FA6E} - http://www.cyclomedia.nl/download/components/CycloScopeLite.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C4AA3E64-7207-45DD-866A-BBAAD316BCE5}: NameServer = 80.58.61.250,80.58.61.254

O20 - Winlogon Notify: agfgjbzt - C:\WINDOWS\SYSTEM32\datacleno.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

gracias

Mensaje por **msc hotline sat** » 07 Ene 2008, 13:36

Hay tres ficheros sospechosos:

C:\windows\system32\datacleno.dll <----- es un BHO y Winlogon Notify, tambien probbale virus

C:\WINDOWS\WIN31.dll.vbs <----- la doble extension es sintoma tipìca de virus y el nombre de 31 en lugar del normal 32, tambien !!!

C:\WINDOWS\system32\regscan.exe <----- nombre tipico de Proxy.Horst y Downloader.Agent.AWF

primero mira si con estas utilidades ya controlamos alguno:

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

ytras ello envianos dichos ficheros para analizarlos e implementar su control y eliminacion, si no lo hacemos, en dichas utilidades

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 7-1-2008

Mensaje por **msc hotline sat** » 07 Ene 2008, 13:38

Hay tres ficheros sospechosos:

C:\windows\system32\datacleno.dll <----- es un BHO y Winlogon Notify, posible virus...

C:\WINDOWS\WIN31.dll.vbs <----- la doble extension es sintoma tipìca de virus y el nombre de 31 en lugar del normal 32, tambien !!!

C:\WINDOWS\system32\regscan.exe <----- nombre tipico de Proxy.Horst y Downloader.Agent.AWF

primero mira si con estas utilidades ya controlamos alguno:

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y tras ello envianos dichos ficheros para analizarlos e implementar su control y eliminacion, si no lo hacemos, en dichas utilidades

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 7-1-2008

eva27 · Mensaje por **eva27** » 08 Ene 2008, 08:45

hola de nuevo

perdonar que este un poco verde en este tema.

-he pasado el ELITRIIP:

con el info

Mon Jan 07 11:56:16 2008

EliStartPage v15.37 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AGFGJBZT] -> C:\WINDOWS\SYSTEM32\datacleno.dll

Por favor, envienos una muestra del fichero

C:\Muestras\DATACLENO.DLL.Muestra EliStartPage v15.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DATACLENO.DLL --> Renombrado a .VIR

Mon Jan 07 12:05:38 2008

EliTriIP v4.26 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Mon Jan 07 12:06:04 2008

EliTriIP v4.26 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\HP\Digital Imaging\{58535A90-1788-44f5-80BB-CFF62D9CE6D5}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Archivos de programa\HP\Temp\{58535A90-1788-44f5-80BB-CFF62D9CE6D5}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\C\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\C\AAA\ANTIGUOS\2007\AATITI\adobe photoshop cs2 español (plugins) - by neutromon.exe --> Eliminado, Bifrose(dropper)

C:\C\Programas\X-OOM\DivxAdvd X-OOM\dvdinstall\Autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Documents and Settings\All Users\Documentos\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\VIDEO\Nueva carpeta (2)\Nueva carpeta\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

Nº Total de Directorios: 6591

Nº Total de Ficheros: 104303

Nº de Ficheros Analizados: 16141

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 7

Mon Jan 07 12:20:11 2008

EliTriIP v4.26 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6591

Nº Total de Ficheros: 104295

Nº de Ficheros Analizados: 16134

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Jan 07 12:38:24 2008

EliTriIP v4.26 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Mon Jan 07 12:38:39 2008

EliTriIP v4.26 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6590

Nº Total de Ficheros: 104285

Nº de Ficheros Analizados: 16132

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Jan 07 12:50:00 2008

EliStartPage v15.37 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AGFGJBZT] -> C:\WINDOWS\SYSTEM32\datacleno.dll

C:\WINDOWS\SYSTEM32\datacleno.dll.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\DATACLENO.DLL.Muestra EliStartPage v15.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DATACLENO.DLL --> Renombrado a .VIR

-el ELISTARA: se bloquea y no lo puedo pasar

-el C:\windows\system32\datacleno.dll lo elimino y vuelve a salir

-C:\WINDOWS\WIN31.dll.vbs y C:\WINDOWS\system32\regscan.exe no aparece aunque tengo activado ver archivos ocultos.

ayuda gracias.

Mensaje por **msc hotline sat** » 08 Ene 2008, 09:57

Pues de entrada el imfosat te dice:

Por favor, envienos una muestra del fichero

C:\Muestras\DATACLENO.DLL.Muestra EliStartPage v15.37

aparte de este no hablas y tambien te pedimos que envies muestra para analizar:

C:\WINDOWS\WIN31.dll.vbs

y el ELISTARA mira si puedes probarlo arrancando en modo seguro

tras recibir las muestras procederemos a su analisis, y tras pasar el ELISTARA posteanos de nuevo el c:\infosat.txt, pero antes bajate el actual LISTARA 15.38 (siempre se ha de probar la ultima version, y cada día cambia)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 8-1-2008

eva27 · Mensaje por **eva27** » 08 Ene 2008, 10:38

hola de nuevo.

-ya te he enviado el archivo a la dirección de correo indicada el datacleno pero el win31 no aparece por ningun lado doy a buscar y no aparece nada en c/windows no está.

-me he bajado la ultima version del EliStarA y la he pasado a prueba de fallos y nada se bloquea en restaurando registro del sistema.

saludos gracias

Mensaje por **msc hotline sat** » 08 Ene 2008, 10:46

Pues el ELISTARA pruebalo desde una ventana al DOS con la opcion de /SALTAREG :

ELISTARA /SALTAREG

A veces un registro enmarañado da problemas, y por ello lo saltamos con dicha opcion.

Y veremos esta DATACLENO a ver qué es, y los demas, si no los tienes, eliminaremos las claves de carga correspondiente

saludos

ms, 8-1-2008

eva27 · Mensaje por **eva27** » 08 Ene 2008, 11:04

hola de nuevo

perdonar pero estoy verde y no se como se pasa el ELISTARA desde una ventana al DOS

perdona las molestias

un saludo.

Mensaje por **msc hotline sat** » 08 Ene 2008, 11:21

Pues como que la doble extension nos garantiza que es de un malware, vamos a eliminar esta clave, aun sin tener el fichero:

O4 - HKLM\..\Run: [mcafee] C:\WINDOWS\WIN31.dll.vbs

y el regscan puede ser un malware RBOT pero tambien una aplicacion de windows, aun estando en la misma carpeta con el mismo nombre

http://www.bleepingcomputer.com/startups/regscan.exe-8651.html

http://www.file.net/process/regscan.exe.html

por esto pediamos muestra, pero nos dice que no está oculto, si bien puede ser de sistema, y tampoco verlo...

Mire de hacer lo siguiente: Ir a una ventana del DOS, ejecutando CMD.EXE y ejecutar:

DIR \REGSCAN.EXE /a /s > c:\regscan.txt

y tras ellos abrir el REGSCAN.TXT con el bloc de notas y con un copiar y pegar nos lo pega en u proximo post de respuesta a este, asi veremos si está en alguna otra parte y con qué atributo, y obraremos en consecuencia

Si no aparece, borraremos tambien esta otra clave:

O4 - HKCU\..\Run: [Regscan] C:\WINDOWS\system32\regscan.exe

Para eliminar claves y/o enviarnos ficheros:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 8-1-2008

Mensaje por **msc hotline sat** » 08 Ene 2008, 12:30

Recibida la muestra de la DLL y subida al VirusTotal la detectan sospechosos y malware muy pocos antivirus, por lo que procederemos a monitorizarla para poder contrastar y verificar dicha deteccion.

De todas formas ya está aparcado, y eliminado de su ruta original, por lo que el registro de sistema no lo podrá lanzas y no entrará en uso en cada reinicio.

Tras monitorizarla, implementaremos su control y eliminacion, si procede, en el ELISTARA, de lo cual informaremos.

Pero ya con lo indicado hasta el momento debe poder reiniciar sin problemas.

Comentenos el resultado, gracias

saludos

ms, 8-1-2008

eva27 · Mensaje por **eva27** » 08 Ene 2008, 12:48

hola de nuevo

-tras hacer todo lo indicado eliminar las dos claves en modo prueba de fallos y con la opcion de restaurar el sistema desconectada creo que el regscan desaparece pero el win 31 no

-cuando intento acceder al acceso directo de c desde el escritorio me aparece un mensaje de error "no se encuentra el archivo de comandos c:document and setti....terminado en el archivo win31.dll.vsb

-yo creo que el virus esta ahi pero ese archivo no aparece por ningun lado.

-tambien noto que al iniciar windows me da un error para enviar del archivo a1qs8.exe que tambien aparece por el long

-el long final es:

Logfile of HijackThis v1.99.1

Scan saved at 12:29:12, on 08/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

C:\Archivos de programa\Winamp\Winampa.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE

C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Labtec\Keyboard\V5.1\kbdap32a.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Archivos de programa\Netropa\Onscreen Display\OSD.exe

C:\Archivos de programa\Netropa\InetKb\Inetkb.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\wscript.exe

C:\C\Basura\Nueva carpeta\Nueva carpeta\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = BANTAI USA & EZRAEL [AL - MUKHLIS STUDIO]

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {727205CD-C4A6-4744-9424-4F3E19C71DA6} - c:\windows\system32\datacleno.dll

O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Archivos de programa\HP\Smart Web Printing\SmartWebPrinting.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [OFFICEKB] C:\Archivos de programa\Labtec\Keyboard\V5.1\kbdap32a.exe

O4 - HKLM\..\Run: [a1qs8] C:\WINDOWS\system32\a1qs8.exe

O4 - HKLM\..\Run: [mcafee] C:\WINDOWS\WIN31.dll.vbs

O4 - HKLM\..\RunOnce: [ReEXEc] C:\C\AAA\ELISTARA.14012008.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [a1qs8] C:\WINDOWS\system32\a1qs8.exe

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {D83C1BD1-DCBB-11D4-9425-0050BF33FA6E} - http://www.cyclomedia.nl/download/components/CycloScopeLite.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C4AA3E64-7207-45DD-866A-BBAAD316BCE5}: NameServer = 80.58.61.250,80.58.61.254

O20 - Winlogon Notify: agfgjbzt - C:\WINDOWS\SYSTEM32\datacleno.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

gracias un saludo

Mensaje por **msc hotline sat** » 08 Ene 2008, 13:29

Sigue existiendo esta clave:

O4 - HKLM\..\Run: [mcafee] C:\WINDOWS\WIN31.dll.vbs

Vuelva a intentar eliminarla pero en modo segur0 ya que sino puede estar en uso el fichero y no dejar eliminarla.

O bien otro proceso en marcha la regenera...

Mira si desde una ventana al DOS puedes encontrar este :

C:\WINDOWS\WIN31.dll.vbs

haciendo lo mismo que antes:

DIR \C:\WINDOWS\WIN31.dll.vbs /a /s

y nos cuentas...

saludos

ms, 8-1-2008

NOTA: y descarga el actual ELISTARA.EXE y el ELINOTIF.DLL en una misma carpeta y prueba el ELISTARA y tras reiniciar nos posteas el infosat.txt:

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

Mensaje por **msc hotline sat** » 08 Ene 2008, 13:39

Y ve posteandonos el SPROCLOG.TXT que te generará el SPROCES si lo pruebas, es mas exhaustivo que el HJT y en este caso creo que hará falta...

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras SALIR, posteanos el contenido del C:\SPROCLOG.TXT :

saludos

ms, 8-1-2008

eva27 · Mensaje por **eva27** » 08 Ene 2008, 13:41

hola

-tras hacerlo en modo seguro ha hecho un intento de ir bien pero al par de minutos todo igual.

-tras iniciar wimdows sale el error en a1qs8 e inmediatamente sale infomacion avast que no puede controlar el correo entrante ni saliente,

-en dos no hay ni rastro del win31

un saludo gracias

eva27 · Mensaje por **eva27** » 08 Ene 2008, 13:48

este es el long

Tue Jan 08 13:44:39 2008

SProces v2.8b (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIVOS DE PROGRAMA\SCANSOFT\OMNIPAGESE\OPWARE32.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\ARCHIVOS DE PROGRAMA\QUICKTIME\QTTASK.EXE

C:\ARCHIVOS DE PROGRAMA\NASDAK\OMNIMOUSE DRIVER\4.0\MOUSE32A.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\D-TOOLS\DAEMON.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\LABTEC\KEYBOARD\V5.1\KBDAP32A.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIVOS DE PROGRAMA\ARES\ARES.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\ONSCREEN DISPLAY\OSD.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\INETKB\INETKB.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\MULTIMEDIA KEYBOARD\NHKSRV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\FXSSVC.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\WINDOWS\SYSTEM32\WSCRIPT.EXE

C:\ARCHIVOS DE PROGRAMA\AUTOCAD 2006\ACAD.EXE

C:\DOCUME~1\SCL\CONFIG~1\TEMP\ADSKCLEANUP.0001

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AUTODESK SHARED\SERVICE\ADSKSCSRV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AUTODESK SHARED\WSCOMMCNTR1.EXE

C:\WINDOWS\SYSTEM32\WSCRIPT.EXE

C:\WINDOWS\SYSTEM32\WSCRIPT.EXE

I:\RWWW.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: Shell=explorer.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {727205CD-C4A6-4744-9424-4F3E19C71DA6} - c:\windows\system32\datacleno.dll

O2 - BHO: CPrintEnhancer Object - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Archivos de programa\HP\Smart Web Printing\SmartWebPrinting.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [a1qs8] C:\WINDOWS\system32\a1qs8.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Corel Reminder]

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [OFFICEKB] C:\Archivos de programa\Labtec\Keyboard\V5.1\kbdap32a.exe

O4 - HKLM\..\Run: [a1qs8] C:\WINDOWS\system32\a1qs8.exe

O4 - HKLM\..\Run: [mcafee] C:\WINDOWS\WIN31.dll.vbs

O4 - HKLM\..\RunOnce: [ReEXEc] C:\C\AAA\ELISTARA.14012008.EXE

O4 - Startup: desktop.ini

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk

O4 - Global Startup: Acrobat Assistant.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O4 - Global Startup: Microsoft Office.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {D83C1BD1-DCBB-11D4-9425-0050BF33FA6E} - http://www.cyclomedia.nl/download/components/CycloScopeLite.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C4AA3E64-7207-45DD-866A-BBAAD316BCE5}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: AGFGJBZT - DATACLENO.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: hardlock - Aladdin Knowledge Systems - C:\WINDOWS\System32\drivers\hardlock.sys

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: ASAPIW2K (ASAPIW2k) - Pinnacle Systems GmbH - C:\WINDOWS\SYSTEM32\drivers\ASAPIW2k.sys

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVerMedia DVB-T BDA Video Capture(A800) (avera800) - AVerMedia Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\avera800.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EraserUtilRebootDrv - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys (file missing)

O23 - Service: HCF_MSFT - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HCF_MSFT.sys

O23 - Service: Logitech PS/2 Mouse Filter Driver (l8042pr2) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\L8042Pr2.sys

O23 - Service: Logitech HID/USB Mouse Filter Driver (LHidFlt2) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LHidFlt2.sys

O23 - Service: Logitech Keyboard Class Filter Driver (LKbdFlt2) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LKbdFlt2.sys

O23 - Service: Logitech Mouse Class Filter Driver (LMouFlt2) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LMouFlt2.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\R8139n51.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: MAT Serial port driver (Ser2pl) - Prolific Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ser2pl.sys

O23 - Service: Sony Digital Imaging Video (sonyhcs) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sonyhcs.sys

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: vsdatant - Zone Labs Inc. - C:\WINDOWS\System32\vsdatant.sys

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: WINFLASH - Unknown owner - C:\WINDOWS\system32\DRIVERS\WINFLASH.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

32 Servicios.

7 de Carga Automatica.

24 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 08 Ene 2008, 15:24

Pues elimine estas claves:

O2 - BHO: (no name) - {727205CD-C4A6-4744-9424-4F3E19C71DA6} - c:\windows\system32\datacleno.dll

O4 - HKLM\..\RunOnce: [ReEXEc] C:\C\AAA\ELISTARA.14012008.EXE

O20 - Winlogon Notify: AGFGJBZT - DATACLENO.DLL

Y diganos si conoce este residente que aparece al final de los ficheros en uso:

I:\RWWW.EXE

informenos y si no lo conoce, envienos envienoslo como muestra para analizar...

y tras descargar esta tarde (a partir de las 19 h) el ELISTARA 15.39 lo prueba y nos postea el infosat.txt, luego solo quedará eliminar los "ACCESO DENEGADO" que detecte, de lo cual informaremos cuando veamos si es el caso.

saludos

ms, 8-1-2007

NOTA: Está activo el ARES... Puede estar compartiendo carpetas y descargando malwares !!! Desaconsejamos su uso, como el de todas las compariciones P2P.

Ademas:

Tiene residente el AVAST y hay una clave de Norton.

Debe ELIMINARLA:

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

ms.

Mensaje por **msc hotline sat** » 08 Ene 2008, 18:38

Subida a esta web la version 15.39 del ELISTARA para control del DATACLENO.DLL, entre otras novedades:

---v15.39-( 8 de Enero del 2008) (Muestras de (4)Puper-Isf y (3)-Isf(dr) "SETUP.EXE", FakeAlert "*****.DLL", DownLoader.ConHook3 "DATACLENO.DLL", (3)PWS-OnLineGames.NRE, AutoRun.BLG "TXOMOU.EXE", AntiVirus2007Pro(dldr) "SPOOLVS.EXE" y StartPage-ATC "PROLOOKER.DLL")

Descarguelo, pruebelo e informenos del resultado, gracias

saludos

ms, 8-1-2008

eva27 · Mensaje por **eva27** » 08 Ene 2008, 19:00

hola de nuevo

-intento pasar la nueva version me dice que EliStarA ha detectado un error y debe cerrarse.

-lo mismo me ha pasado cuando lo intento en modo seguro.

-el EliTriip me lo analiza sin ningun tipo de problemas

un saludo.

eva27 · Mensaje por **eva27** » 08 Ene 2008, 19:21

-he buscado en el google y he encontrado un caso exactamente como el mio y lo solucionaron eliminando el WIN31.dll.vbs con un antivirus raro que no me atrevo a descargar ademas elimina el autorum que a mi me lo ha eliminado el eLITRIIP no se si hos pueden servir estos datos.

-hace un año elimine un troyano con vuestra ayuda alomejor algunas entradas son del troyano anterior

un saludo y gracias

Mensaje por **msc hotline sat** » 08 Ene 2008, 19:52

Hubo un error en el upload del ELISTARA de hoy.

Vuelvelo a bajar y tras probarlo comentanos el resultado, gracias

saludos

ms, 8-1-2008

eva27 · Mensaje por **eva27** » 09 Ene 2008, 08:32

-nada se sigue bloqueando y no me deja reconocer el ordenador

-con respecto al otro archivo xyyy es un archivo que tengo en la memoria renombrado

Mensaje por **msc hotline sat** » 09 Ene 2008, 11:19

Dices

~~[b]~~[i]"-con respecto al otro archivo xyyy es un archivo que tengo en la memoria renombrado"[/i][/b]

Pues esta en uso, asi que por muy renombrado que esté, está activo en memoria, y puede ser el causante de todo !!!

Envianoslo y lo analizaremos, y mientras renombralo a extension .VIR y tras reiniciar mira si notas diferencia en tu problema.

saludos

ms, 9-1-2008

NOTA:

Y baja el nuevo ELISTARA 15.39 ACTUAL QUE FUNCIONA YA PERFECTAMENTE. ms.

eva27 · Mensaje por **eva27** » 09 Ene 2008, 11:27

-ese archivo es el SPROCES que lo renombre con ese nombre ya lo he eliminado de la memoria.

Mensaje por **msc hotline sat** » 09 Ene 2008, 12:23

El Sproces solo esta residente hasta el siguiente reinicio, asi que ya no debe aparecer mas salvo que lo lances de nuevo.

Pues ya aclarado lo que era, prueba el nuevo ELISTARA y nos posteas el infosat.txt, ya que ya controla tu DATACLENO.EXE

Si lo detectara pero dijera ACCESO DENEGADO, procederiamos en consecuencia.

saludos

ms, 9-1-2008

eva27 · Mensaje por **eva27** » 09 Ene 2008, 12:35

se bloquea el ELISTARA en restaurando registro del sistema

un saludo

eva27 · Mensaje por **eva27** » 09 Ene 2008, 12:39

si elimino el datacleno dll.con el killbox me cargo windows

Mensaje por **msc hotline sat** » 09 Ene 2008, 13:32

Desde una ventana al DOS lanza el ELISTARA con la opcion /SALTAREG

Para ello copialo en una carpeta que conozcas, por ejemplo en C:\ y ejecutas:

C:\ELISTARA /SALTAREG

Y NOS CUENTAS EL RESULTADO, GRACIAS

SALUDOS

MS, 9-1-2008

eva27 · Mensaje por **eva27** » 09 Ene 2008, 13:48

hola de nuevo

-desde la ventana de dos si tecleo"c:\elistara/saltareg mas enter me sale "el sistema no puede hayar la ruta especificada"

-si tecleo "c:\elistara" se bloquea igual que windows

-no hay alguna manera de eliminarlo con otro metodo el elistara se bloque.

un saludo

Mensaje por **msc hotline sat** » 09 Ene 2008, 14:02

Separa ELISTARA /SALTAREG (no junto).

Si has copiado el ELISTARA.EXE EN C:\ no has de tener problema

Quien persevera , logra ... :wink:

saludos

ms, 9-1-2008

eva27 · Mensaje por **eva27** » 09 Ene 2008, 17:03

hola de nuevo

-ya he conseguido pasar el elistara pero el virus no desaparece.

-lo he pasado primero en normal y luego en modo seguro

-ahora cada vez que reinicio me sale un mensaje del elistara que tengo un virus y reinicie

aqui pego el infosat:

Wed Jan 09 13:42:24 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AGFGJBZT] -> C:\WINDOWS\SYSTEM32\datacleno.dll

C:\WINDOWS\SYSTEM32\datacleno.dll.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\DATACLENO.DLL --> DownLoader.ConHook3(notify) Renombrado a .VIR

Wed Jan 09 16:09:23 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AGFGJBZT] -> C:\WINDOWS\SYSTEM32\datacleno.dll

C:\WINDOWS\SYSTEM32\DATACLENO.DLL --> Eliminado DownLoader.ConHook3(notify)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 09 16:09:48 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Ahead\Nero\ISOFS.DLL --> Eliminado, NavHelper(BHO)

C:\Archivos de programa\Ahead\Nero\NEVCDENGINE.DLL --> Eliminado, NavHelper(BHO)

C:\C\Basura\Nueva carpeta\Nueva carpeta\backups\BACKUP-20080108-161950-945.DLL --> Eliminado, DownLoader.ConHook3(notify)

C:\C\Basura\Nueva carpeta\Nueva carpeta\backups\BACKUP-20080108-162427-773.DLL --> Eliminado, DownLoader.ConHook3(notify)

C:\Muestras\DATACLENO.DLL.MUESTRA ELISTARTPAGE V15.38 --> Eliminado, DownLoader.ConHook3(notify)

C:\WINDOWS\system32\DATACLENO.DLL --> Eliminado, DownLoader.ConHook3(notify)

C:\WINDOWS\system32\DATACLENO.DLL.VIR --> Acceso Denegado, DownLoader.ConHook3(notify)

Nº Total de Directorios: 6455

Nº Total de Ficheros: 93720

Nº de Ficheros Analizados: 16811

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 6

Sistema Infectado por el Downloader.ConHook3

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Wed Jan 09 16:24:06 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AGFGJBZT] -> C:\WINDOWS\SYSTEM32\datacleno.dll

C:\WINDOWS\SYSTEM32\DATACLENO.DLL --> DownLoader.ConHook3(notify) Renombrado a .VIR

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el Downloader.ConHook3

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Wed Jan 09 16:33:28 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AGFGJBZT] -> C:\WINDOWS\SYSTEM32\datacleno.dll

C:\WINDOWS\SYSTEM32\datacleno.dll.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\DATACLENO.DLL --> DownLoader.ConHook3(notify) Renombrado a .VIR

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 09 16:33:48 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\DATACLENO.DLL --> Eliminado, DownLoader.ConHook3(notify)

C:\WINDOWS\system32\DATACLENO.DLL.VIR --> Acceso Denegado, DownLoader.ConHook3(notify)

C:\WINDOWS\system32\DATACLENO.DLL.VIR.VIR --> Eliminado, DownLoader.ConHook3(notify)

Nº Total de Directorios: 6450

Nº Total de Ficheros: 93717

Nº de Ficheros Analizados: 16807

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 2

Sistema Infectado por el Downloader.ConHook3

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Wed Jan 09 16:45:36 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AGFGJBZT] -> C:\WINDOWS\SYSTEM32\datacleno.dll

C:\WINDOWS\SYSTEM32\datacleno.dll.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\DATACLENO.DLL --> DownLoader.ConHook3(notify) Renombrado a .VIR

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el Downloader.ConHook3

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Wed Jan 09 16:53:29 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AGFGJBZT] -> C:\WINDOWS\SYSTEM32\datacleno.dll

C:\WINDOWS\SYSTEM32\datacleno.dll.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\DATACLENO.DLL --> DownLoader.ConHook3(notify) Renombrado a .VIR

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el Downloader.ConHook3

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

un saludo