Virus desconocido, YOUR PRIVACY IS IN DANGER!! DOWNLOAD PRIV

[ostropio]

Hola, he amanecido con un virus que no se cómo quitarlo, tengo el antivirus Trend Micro Pc-cilin.

Se me ha cambiado el fondo del escritorio por una imagen en rojo que pone:



YOUR PRIVACY IS IN DANGER!! DOWNLOAD PRIVACY PROTECTION SOTFWARE NOW



Se me abren ventanas raras, entre otras una que me dice Spyware Alert:Worm.Win32.Netsky detected on your machine...

y se me han bajado en el escritorio dos enlaces directos: PRIVACY PROTECTOR Y SPYWARE&MALWARE PROTECTION.



Otra ventana del explorer que se me abre pone barraintegral o algo asi.



He intentado reiniciar en modo seguro para pasarle el Superantispyware y no me deja, se reinicia solo antes de llegar a iniciar.



Le he he hecho un scaneo con kaspersky y esto es lo que me sale:



KASPERSKY ONLINE SCANNER INFORME

lunes, 03 de marzo de 2008 5:19:36

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.98.0

Ultima actualización: 2/03/2008

Registros en la base antivirus: 593820

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: estendidas

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\

F:\

G:\

H:\



Estadísticas:

Número de objeros analizados: 99425

Virus encontrados: 7

Objetos infectados: 30

Objetos sospechosos: 0

Duración del análisis: 04:11:23



Bombre del objeto infectado / Nombre del virus / Última acción

C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\user.dmp Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\system32\Com\oboe32\mdsd.xdcc Object is locked saltado

C:\WINDOWS\system32\Com\oboe32\mdsd.xdcc.bkup Object is locked saltado

C:\WINDOWS\twain_32\Trust\Compact Scan\INSTALL.LOG Object is locked saltado

C:\WINDOWS\twain_32\Trust\Direct Webscan\INSTALL.LOG Object is locked saltado

F:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked saltado

G:\WINDOWS\system32\config\system.LOG Object is locked saltado

G:\WINDOWS\system32\config\software.LOG Object is locked saltado

G:\WINDOWS\system32\config\default.LOG Object is locked saltado

G:\WINDOWS\system32\config\SECURITY Object is locked saltado

G:\WINDOWS\system32\config\SAM Object is locked saltado

G:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

G:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

G:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

G:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

G:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

G:\WINDOWS\system32\config\SYSTEM Object is locked saltado

G:\WINDOWS\system32\config\SOFTWARE Object is locked saltado

G:\WINDOWS\system32\config\DEFAULT Object is locked saltado

G:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado

G:\WINDOWS\system32\config\OSession.evt Object is locked saltado

G:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

G:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

G:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

G:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

G:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

G:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

G:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

G:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

G:\WINDOWS\system32\h323log.txt Object is locked saltado

G:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

G:\WINDOWS\wiaservc.log Object is locked saltado

G:\WINDOWS\WindowsUpdate.log Object is locked saltado

G:\WINDOWS\SchedLgU.Txt Object is locked saltado

G:\WINDOWS\Sti_Trace.log Object is locked saltado

G:\WINDOWS\wiadebug.log Object is locked saltado

G:\WINDOWS\btrklfr.dll Infectados: not-a-virus:AdWare.Win32.Vapsup.bwx saltado

G:\WINDOWS\fqspogw.exe Infectados: not-a-virus:AdWare.Win32.Vapsup.byt saltado

G:\WINDOWS\enlfxgw.dll Infectados: not-a-virus:AdWare.Win32.Vapsup.bwy saltado

G:\WINDOWS\apdqnxp.dll Infectados: not-a-virus:AdWare.Win32.Vapsup.bww saltado

G:\WINDOWS\dkxrstqxrw.dll Infectados: not-a-virus:AdWare.Win32.Vapsup.bts saltado

G:\WINDOWS\Installer\{e1214e46-7a78-404f-b30a-9f917e17424c}\KernelSys.dll Infectados: Trojan-Dropper.Win32.Agent.eya saltado

G:\WINDOWS\Installer\{096c4d28-3f5d-44a6-88f3-9842ad843d5c}\SetupKbd.dll Infectados: Trojan-Dropper.Win32.Agent.eya saltado

G:\WINDOWS\Installer\{3c7f7f85-2ae2-4dc1-a96a-686618c39698}\zip.dll Infectados: Trojan-Dropper.Win32.Agent.eya saltado

G:\WINDOWS\Installer\{8e124e2a-7f5d-4239-8d16-155fe694b753}\zip.dll Infectados: Trojan-Dropper.Win32.Agent.eya saltado

G:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado

G:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

G:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

G:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

G:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

G:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

G:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked saltado

G:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

G:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

G:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

G:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

G:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

G:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

G:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

G:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

G:\Documents and Settings\Ostropio\NTUSER.DAT Object is locked saltado

G:\Documents and Settings\Ostropio\NTUSER.DAT.LOG Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\4JT31Q61\1204482390[1].exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\ZFYSBL7Z.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\iEXyWVJ1.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\3cynOak2.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\SJFp4wxh.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\d6n1dzSR.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\VGRP0kBh.exe Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\iWgHP6WT.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\Free Download Manager\tic1273.tmp Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\Free Download Manager\tic4B.tmp Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\Free Download Manager\ticE4A.tmp Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\Free Download Manager\ticE7C.tmp Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\Free Download Manager\ticECE.tmp Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\Free Download Manager\tic119C.tmp Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\Free Download Manager\ticF3C.tmp Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\Free Download Manager\ticFA3.tmp Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\Free Download Manager\tic127C.tmp Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\Free Download Manager\tic1576.tmp Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\Free Download Manager\tic163F.tmp Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\Free Download Manager\tic15E6.tmp Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\Free Download Manager\tic189E.tmp Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\mso11.exe Infectados: Trojan-Dropper.Win32.Agent.eya saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\s6VW7LX3.exe Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\D2OTZ7g1.exe Infectados: Trojan-Dropper.Win32.Agent.eya saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\fy5RvXg5.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\dKGGymVK.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Historial\History.IE5\MSHist0120080303200803 04\index.dat Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Archivos temporales de Internet\Content.IE5\HO4F550X\1204494521[1].exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ovnxuw8y.default \Cache\_CACHE_MAP_ Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ovnxuw8y.default \Cache\_CACHE_001_ Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ovnxuw8y.default \Cache\_CACHE_002_ Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ovnxuw8y.default \Cache\_CACHE_003_ Object is locked saltado

G:\Documents and Settings\Ostropio\Cookies\index.dat Object is locked saltado

G:\Documents and Settings\Ostropio\Datos de programa\Mozilla\Firefox\Profiles\ovnxuw8y.default \history.dat Object is locked saltado

G:\Documents and Settings\Ostropio\Datos de programa\Mozilla\Firefox\Profiles\ovnxuw8y.default \parent.lock Object is locked saltado

G:\Documents and Settings\Ostropio\Datos de programa\Mozilla\Firefox\Profiles\ovnxuw8y.default \cert8.db Object is locked saltado

G:\Documents and Settings\Ostropio\Datos de programa\Mozilla\Firefox\Profiles\ovnxuw8y.default \key3.db Object is locked saltado

G:\Documents and Settings\Ostropio\Datos de programa\Mozilla\Firefox\Profiles\ovnxuw8y.default \search.sqlite Object is locked saltado

G:\Documents and Settings\Ostropio\Datos de programa\Mozilla\Firefox\Profiles\ovnxuw8y.default \urlclassifier2.sqlite Object is locked saltado

G:\Archivos de programa\antiviirus.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Archivos de programa\tmp346218.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Archivos de programa\tmp31640.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Archivos de programa\tmp242875.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Archivos de programa\tmp78796.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Archivos de programa\tmp33015.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Archivos de programa\tmp77640.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Archivos de programa\tmp167765.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Archivos de programa\tmp211906.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked saltado

H:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked saltado

H:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



Análisis completado.



Por favor necesito vuestra ayuda.



Gracias.

[lucl]

Ejecuta estos dos programas que te indico y luego nos pegas el logque te dejaran en C infosat.txt





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



despues de haber pasado estos dos programas ejecuta hijackthis y nos pegas el log ,, saludos





[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos

[msc hotline sat]

Y luego abre una carpeta de C:\infectados y mueve los 30 ficheros detectados a dicha carpeta:



G:\WINDOWS\btrklfr.dll Infectados: not-a-virus:AdWare.Win32.Vapsup.bwx saltado

G:\WINDOWS\fqspogw.exe Infectados: not-a-virus:AdWare.Win32.Vapsup.byt saltado

G:\WINDOWS\enlfxgw.dll Infectados: not-a-virus:AdWare.Win32.Vapsup.bwy saltado

G:\WINDOWS\apdqnxp.dll Infectados: not-a-virus:AdWare.Win32.Vapsup.bww saltado

G:\WINDOWS\dkxrstqxrw.dll Infectados: not-a-virus:AdWare.Win32.Vapsup.bts saltado

G:\WINDOWS\Installer\{e1214e46-7a78-404f-b30a-9f917e17424c}\KernelSys.dll c: Trojan-Dropper.Win32.Agent.eya saltado

G:\WINDOWS\Installer\{096c4d28-3f5d-44a6-88f3-9842ad843d5c}\SetupKbd.dll Infectados: Trojan-Dropper.Win32.Agent.eya saltado

G:\WINDOWS\Installer\{3c7f7f85-2ae2-4dc1-a96a-686618c39698}\zip.dll Infectados: Trojan-Dropper.Win32.Agent.eya saltado

G:\WINDOWS\Installer\{8e124e2a-7f5d-4239-8d16-155fe694b753}\zip.dll Infectados: Trojan-Dropper.Win32.Agent.eya saltado



G:\Documents and Settings\Ostropio\Configuración local\Temp\D2OTZ7g1.exe Infectados: Trojan-Dropper.Win32.Agent.eya saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\fy5RvXg5.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\dKGGymVK.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado





G:\Documents and Settings\Ostropio\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\4JT31Q61\1204482390[1].exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\ZFYSBL7Z.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\iEXyWVJ1.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\3cynOak2.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\SJFp4wxh.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\d6n1dzSR.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\VGRP0kBh.exe Object is locked saltado

G:\Documents and Settings\Ostropio\Configuración local\Temp\iWgHP6WT.exe Infectados: Trojan-Downloader.Win32.Agent.keu saltado



de forma que los quites de donde estaban.



Tras reiniciar ya no se pondran en uso, y si luego los empaquetas en un RAR con password VIRUS y nos los envias, los analizaremos e implementaremos la restauracion de claves que hubieren modificado y otros ficheros que pudieran haber creado, a base de probar la utilidad en la que lo implementemos



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Si con ello ya desaparece este fondo de pantalla molesto, estupendo, sino, si persiste el problema, procede con el SPROCES:





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT



Tras analizarlo, veremos el malware que falta ! :wink: , si es el caso.



saludos



ms, 3-3-2008

[ostropio]

[quote="lucl"]Ejecuta estos dos programas que te indico y luego nos pegas el logque te dejaran en C infosat.txt





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



despues de haber pasado estos dos programas ejecuta hijackthis y nos pegas el log ,, saludos





[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos[/quote]

[ostropio]

Aqui el log del elistara:



0:38 04/03/2008

Wed Oct 10 17:41:53 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\PROGRAM FILES\MEDIA ACCESS\MEDIAACCK.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "System service79"="C:\WINDOWS\\\etb\\pokapoka79.exe"

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.38,85.255.112.63

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Oct 10 17:55:17 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.38,85.255.112.63

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Oct 10 17:56:25 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Oct 10 18:03:02 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Wed Oct 10 18:03:06 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Wed Oct 10 18:03:07 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Wed Oct 10 18:03:14 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Wed Oct 10 18:03:45 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Wed Oct 10 18:03:53 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Tue Mar 04 00:05:21 2008

EliStartPage v15.78 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

G:\Documents and Settings\Ostropio\Escritorio\Error Cleaner.url --> Eliminado (Fichero Complementario).

G:\Documents and Settings\Ostropio\Escritorio\Privacy Protector.url --> Eliminado (Fichero Complementario).

G:\Documents and Settings\Ostropio\Escritorio\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

G:\Documents and Settings\Ostropio\Favoritos\Error Cleaner.url --> Eliminado (Fichero Complementario).

G:\Documents and Settings\Ostropio\Favoritos\Privacy Protector.url --> Eliminado (Fichero Complementario).

G:\Documents and Settings\Ostropio\Favoritos\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

Eliminada Carpeta "\Program Files\AltNet"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Mar 04 00:07:31 2008

EliStartPage v15.78 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

G:\WINDOWS\privacy_danger\INDEX.HTM --> Eliminado, Danger(Privcy Protection)

G:\Archivos de programa\MuseTools\KBPS.EXE --> Eliminado, Malware.Zambrano



Nº Total de Directorios: 4172

Nº Total de Ficheros: 37067

Nº de Ficheros Analizados: 14070

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Tue Mar 04 00:24:24 2008

EliStartPage v15.78 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Mar 04 00:44:25 2008

EliTriIP v4.46 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\





Y el de Hijackthis:



Logfile of HijackThis v1.99.1

Scan saved at 0:48:57, on 04/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\csrss.exe

G:\WINDOWS\SYSTEM32\WINLOGON.EXE

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\Ati2evxx.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\SYSTEM32\SVCHOST.EXE

G:\WINDOWS\SYSTEM32\SVCHOST.EXE

G:\WINDOWS\system32\Ati2evxx.exe

G:\WINDOWS\SYSTEM32\SVCHOST.EXE

G:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

G:\WINDOWS\SYSTEM32\SPOOLSV.EXE

G:\WINDOWS\EXPLORER.EXE

G:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

G:\WINDOWS\gtwatch.exe

G:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

G:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

G:\Archivos de programa\iTunes\iTunesHelper.exe

G:\ARCHIVOS DE PROGRAMA\ANTIVIIRUS.EXE

G:\WINDOWS\system32\ctfmon.exe

G:\WINDOWS\system32\devldr32.exe

G:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\system32\wdfmgr.exe

G:\Archivos de programa\iPod\bin\iPodService.exe

G:\WINDOWS\System32\alg.exe

G:\WINDOWS\system32\wscntfy.exe

G:\ARCHIV~1\FREEDO~1\fdm.exe

G:\Archivos de programa\Mozilla Firefox\firefox.exe

G:\Archivos de programa\WinRAR\WinRAR.exe

G:\WINDOWS\system32\Notepad.exe

G:\Hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)

O2 - BHO: RDL Rolex - {39E6E4A6-E6C3-48D7-8D25-7E964D8CD46F} - G:\WINDOWS\dkxrstqxrw.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - G:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {9CCFD00E-AA94-47D7-B83B-39980C91652C} - (no file)

O2 - BHO: (no name) - {A4A1B901-51B6-4E3B-8347-5E3427CCFD86} - g:\windows\system32\rasradu.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - G:\Archivos de programa\Free Download Manager\iefdm2.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: enlfxgw - {9CF5CD0B-DED8-4AEC-9B00-80C9BCB9067D} - G:\WINDOWS\enlfxgw.dll

O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Gtwatch] G:\WINDOWS\gtwatch.exe

O4 - HKLM\..\Run: [pccguide.exe] "G:\Archivos de programa\Trend Micro\Internet Security 14\pccguide.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "G:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [StartCCC] "G:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [TkBellExe] "G:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "G:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "G:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [antiviirus] G:\Archivos de programa\antiviirus.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "G:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Watch.lnk = G:\WINDOWS\twain_32\Trust\Direct Webscan\WATCH.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = G:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Descargar con Free Download Manager - file://G:\Archivos de programa\Free Download Manager\dllink.htm

O8 - Extra context menu item: Descargar la selección con Free Download Manager - file://G:\Archivos de programa\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Descargar todo con Free Download Manager - file://G:\Archivos de programa\Free Download Manager\dlall.htm

O8 - Extra context menu item: Descargar vídeos con Free Download Manager - file://G:\Archivos de programa\Free Download Manager\dlfvideo.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://G:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - G:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - G:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - G:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: !SASWinLogon - G:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: allmsaxr - G:\WINDOWS\SYSTEM32\rasradu.dll

O21 - SSODL: apdqnxp - {A76A2B96-133D-4574-A89D-6663EF57CB7A} - G:\WINDOWS\apdqnxp.dll

O21 - SSODL: btrklfr - {6F4FCA99-00EC-4FCB-98F4-0314169289AD} - G:\WINDOWS\btrklfr.dll

O21 - SSODL: KernelSys - {e1214e46-7a78-404f-b30a-9f917e17424c} - G:\WINDOWS\Installer\{e1214e46-7a78-404f-b30a-9f917e17424c}\KernelSys.dll

O21 - SSODL: SetupKbd - {096c4d28-3f5d-44a6-88f3-9842ad843d5c} - G:\WINDOWS\Installer\{096c4d28-3f5d-44a6-88f3-9842ad843d5c}\SetupKbd.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - G:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - G:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - G:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - G:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - G:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - G:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - G:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - G:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe

[ostropio]

Hay algunos archivos en teoría infectados q no los he encontrado, no me deja adjuntar el rar con los infectados, me dice que la extensión rar no está permitida...

[msc hotline sat]

Sabes si este fichero es lo que dice ??? :



G:\ARCHIVOS DE PROGRAMA\ANTIVIIRUS.EXE



Sino, renombralo a .VIR y envianoslo para analizar



y los que dices que no encuentras pueden estar ocultos, recuerda:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



y eso de que no te permite enviar RAR, vamos ... pues mira si te poermite hacerlo en ZIP, y sino envialo desde casa de un amigo



saludos



ms, 4-3-2008



y al menos si has renombradoa a .VIR dichos ficheros, tras reiniciar dinos si persiste el problema y en tal caso posteanos el log del SPROCES, pues en el del HJT no aparecen algunos FAKE ALERT



saludos



ms, 4-3-2008

[ostropio]

Aqui el log de Sproces :



Tue Mar 04 18:36:47 2008

SProces v2.8b (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

G:\WINDOWS\SYSTEM32\SMSS.EXE

G:\WINDOWS\SYSTEM32\CSRSS.EXE

G:\WINDOWS\SYSTEM32\WINLOGON.EXE

G:\WINDOWS\SYSTEM32\SERVICES.EXE

G:\WINDOWS\SYSTEM32\LSASS.EXE

G:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

G:\WINDOWS\SYSTEM32\SVCHOST.EXE

G:\WINDOWS\SYSTEM32\SVCHOST.EXE

G:\WINDOWS\SYSTEM32\SVCHOST.EXE

G:\WINDOWS\SYSTEM32\SVCHOST.EXE

G:\WINDOWS\SYSTEM32\SVCHOST.EXE

G:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

G:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE 2007\AAWSERVICE.EXE

G:\WINDOWS\SYSTEM32\SPOOLSV.EXE

G:\WINDOWS\EXPLORER.EXE

G:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_03\BIN\JUSCHED.EXE

G:\WINDOWS\GTWATCH.EXE

G:\ARCHIVOS DE PROGRAMA\TREND MICRO\INTERNET SECURITY 14\PCCGUIDE.EXE

G:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE

G:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

G:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE

G:\ARCHIVOS DE PROGRAMA\ANTIVIIRUS.EXE

G:\WINDOWS\SYSTEM32\CTFMON.EXE

G:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

G:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

G:\ARCHIV~1\TRENDM~1\INTERN~1\PCCTLCOM.EXE

G:\WINDOWS\SYSTEM32\SVCHOST.EXE

G:\ARCHIV~1\TRENDM~1\INTERN~1\TMNTSRV.EXE

G:\ARCHIV~1\TRENDM~1\INTERN~1\TMPROXY.EXE

G:\WINDOWS\SYSTEM32\WDFMGR.EXE

G:\ARCHIV~1\TRENDM~1\INTERN~1\TMPFW.EXE

G:\WINDOWS\SYSTEM32\DEVLDR32.EXE

G:\DOCUME~1\OSTROPIO\CONFIG~1\TEMP\19G0JKAW.EXE

G:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

G:\WINDOWS\SYSTEM32\ALG.EXE

G:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

G:\WINDOWS\SYSTEM32\WSCNTFY.EXE

G:\ARCHIV~1\FREEDO~1\FDM.EXE

C:\DOCUMENTS AND SETTINGS\OSTROPIN\MIS DOCUMENTOS\DOWNLOADS\SPROCES.EXE

C:\DOCUMENTS AND SETTINGS\OSTROPIN\MIS DOCUMENTOS\DOWNLOADS\SPROCES.EXE

C:\DOCUMENTS AND SETTINGS\OSTROPIN\MIS DOCUMENTOS\DOWNLOADS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=G:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)

O2 - BHO: RDL Rolex - {39E6E4A6-E6C3-48D7-8D25-7E964D8CD46F} - G:\WINDOWS\dkxrstqxrw.dll (file missing)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - G:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {9CCFD00E-AA94-47D7-B83B-39980C91652C} - (no file)

O2 - BHO: (no name) - {A4A1B901-51B6-4E3B-8347-5E3427CCFD86} - (no file)

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - G:\Archivos de programa\Free Download Manager\iefdm2.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: (no name) - ID - (no file)

O3 - Toolbar: enlfxgw - {9CF5CD0B-DED8-4AEC-9B00-80C9BCB9067D} - G:\WINDOWS\enlfxgw.dll (file missing)

O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "G:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Gtwatch] G:\WINDOWS\gtwatch.exe

O4 - HKLM\..\Run: [pccguide.exe] "G:\Archivos de programa\Trend Micro\Internet Security 14\pccguide.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "G:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [StartCCC] "G:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [TkBellExe] "G:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "G:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "G:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [antiviirus] G:\Archivos de programa\antiviirus.exe

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Watch.lnk

O4 - Global Startup: Adobe Gamma Loader.lnk

O8 - Extra context menu item: Descargar con Free Download Manager - file://G:\Archivos de programa\Free Download Manager\dllink.htm

O8 - Extra context menu item: Descargar la selección con Free Download Manager - file://G:\Archivos de programa\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Descargar todo con Free Download Manager - file://G:\Archivos de programa\Free Download Manager\dlall.htm

O8 - Extra context menu item: Descargar vídeos con Free Download Manager - file://G:\Archivos de programa\Free Download Manager\dlfvideo.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://G:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - G:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - G:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: !SASWINLOGON - G:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: ALLMSAXR - NULL1 (file missing)

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - G:\WINDOWS\system32\stobject.dll

O21 - SSODL: apdqnxp - {A76A2B96-133D-4574-A89D-6663EF57CB7A} - G:\WINDOWS\apdqnxp.dll (file missing)

O21 - SSODL: btrklfr - {6F4FCA99-00EC-4FCB-98F4-0314169289AD} - G:\WINDOWS\btrklfr.dll (file missing)

O21 - SSODL: KernelSys - {e1214e46-7a78-404f-b30a-9f917e17424c} - G:\WINDOWS\Installer\{e1214e46-7a78-404f-b30a-9f917e17424c}\KernelSys.dll

O21 - SSODL: SetupKbd - {096c4d28-3f5d-44a6-88f3-9842ad843d5c} - G:\WINDOWS\Installer\{096c4d28-3f5d-44a6-88f3-9842ad843d5c}\SetupKbd.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - G:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - G:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - G:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - G:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - G:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - G:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - G:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - G:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Tmfilter - Trend Micro Inc. - G:\WINDOWS\SYSTEM32\drivers\TmXPFlt.sys

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - G:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - G:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Tmpreflt - Trend Micro Inc. - G:\WINDOWS\SYSTEM32\drivers\Tmpreflt.sys

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - G:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe

O23 - Service: Common Firewall Driver (tm_cfw) - Trend Micro Inc. - G:\WINDOWS\System32\Drivers\tm_cfw.sys

O23 - Service: Vsapint - Trend Micro Inc. - G:\WINDOWS\SYSTEM32\drivers\VsapiNT.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - G:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: ati2mtag - ATI Technologies Inc. - G:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Puerto de juegos de Creative SB Live! (ctljystk) - Creative Technology Ltd. - G:\WINDOWS\SYSTEM32\DRIVERS\ctljystk.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - G:\WINDOWS\System32\dmadmin.exe

O23 - Service: Creative SB Live! (WDM) (emu10k) - Creative Technology Ltd. - G:\WINDOWS\SYSTEM32\drivers\emu10k1m.sys

O23 - Service: Controlador del administrador Creative Interface (WDM) (emu10k1) - Creative Technology Ltd. - G:\WINDOWS\SYSTEM32\drivers\ctlfacem.sys

O23 - Service: GEARAspiWDM - GEAR Software Inc. - G:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: Grand Tech GT680x NT (GT680x) - - G:\WINDOWS\SYSTEM32\DRIVERS\TR12389.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - G:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NSNDIS5 NDIS Protocol Driver (NSNDIS5) - Unknown owner - G:\WINDOWS\system32\NSNDIS5.SYS (file missing)

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - G:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - G:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - G:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: 802.11b/g Wireless LAN USB 2.0 Adapter Driver (RT73) - Unknown owner - G:\WINDOWS\SYSTEM32\DRIVERS\rt73.sys (file missing)

O23 - Service: Realtek RTL8139/810x/8169/8110 all in one NDIS NT Driver (RTL8023) - Realtek Semiconductor Corporation - G:\WINDOWS\SYSTEM32\DRIVERS\Rtlnic51.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - G:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: SASENUM - SuperAdBlocker, Inc. - G:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: SDTHOOK - Panda Software - G:\WINDOWS\SYSTEM32\DRIVERS\SDTHOOK.sys





Y aunque no te lo creas me sigue diciendo q no puedo subir archivos rar, ni vir tampoco, ni con IE ni Firefox, o soy muy torpe o no se que pasa, se hace con subir adjunto no?



Saludos

[msc hotline sat]

No, simplemente debes tener una regla que lo impide, pero ello reduce bastante tus posibilidades ... :wink:



Pero bueno, hay buenas noticias: El origen de este Tema era lo del privacy Danger... , pues parece que con el ELISTARA ello lo hemos solucionado:


[quote]EliStartPage v15.78 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

G:\WINDOWS\privacy_danger\INDEX.HTM --> [b][i]Eliminado, Danger(Privcy Protection)[/i][/b]

G:\Archivos de programa\MuseTools\KBPS.EXE --> Eliminado, Malware.Zambrano[/quote]

y alguno que otro troyano tambien, y hemos visto que decía que apuntabas a unos servidores de DNS mailiciosos, de Ukraina, lo cual creo que ya ha corregido, pues no lo vemos en el ultimo log, el cual paso a analizar:



Persiste la carga de este fichero sospechoso:



G:\ARCHIVOS DE PROGRAMA\ANTIVIIRUS.EXE



y este otro tambies es sospechoso



Envianos al menos estos dos, y si no puedes en ZIP o RAR, mira de enviarnos como EXE; a ver si llegan ...



Recuerda , a zonavirus@satinfo.es indicando como referencia tu nick en el foro.



Los que encuentres de los demas que te pediamos, mira de enviarnoslos desde otro ordenador de un amigo, como se te indicaba



saludos



ms, 4-3-2008

[ostropio]

Si, el ordenador parece que va bastante mejor que antes, se me ha eliminado la barra de YOUr Privacy.. y no se abren ventanas raras.

Te puedo mandar los archivos al correo de zonavirus@satinfo.es? A q otro archivo te refieres (y este otro tambies es sospechoso??) aparte de antiivirus.exe?



Gracias

[ostropio]

Este es lo que me pone cuando intento subir un adjunto:



La extensión exe no está permitida

La extensión rar no está permitida

La extensión vir no está permitida



No sabes que puede pasar?

[msc hotline sat]

Prueba de empaquetarlos en un ZIP, a ver si con esa deja...



Son reglas de tu servidor de correo, mal iriamos que no pudieramos enviar RAR !!!



saludos



ms, 4-3-2008

[ostropio]

A ver a mi no me deja adjuntar rar desde esta página no tiene nada que ver con el servidor de mi correo creo, probare en zip pero me parece a mi...

[ostropio]

He mandado un correo a zonavirus@satinfo.es con los archivos adjuntos que me pedías.



Saludos

[lucl]

Pues estate atento al post mañana pues te diran algo a lo largo del dia, saludos

[msc hotline sat]

Pues en unas 4 horas entraremos a trabajar en SATINFO, desde donde veremos si lo hemos recibido y en su caso lo analizaremos e informaremos



saludos



ms, 5-3-2008

[msc hotline sat]

Recibidos 9 ficheros infectados, se pasan a controlar con el ELISTARA 15.80 de hoy ;





antiviirus.vir - infected by Trojan-Downloader.Win32.Agent.keu

apdqnxp.dll - infected by not-a-virus:AdWare.Win32.Vapsup.bww

btrklfr.dll - infected by not-a-virus:AdWare.Win32.Vapsup.bwx

dkxrstqxrw.dll - infected by not-a-virus:AdWare.Win32.Vapsup.bts

enlfxgw.dll - infected by not-a-virus:AdWare.Win32.Vapsup.bwy

fqspogw.exe - infected by not-a-virus:AdWare.Win32.Vapsup.byt

SetupKbd.dll - infected by Trojan-Dropper.Win32.Agent.eya

zip.dll - infected by Trojan-Dropper.Win32.Agent.eya

KernelSys.dll - infected by Trojan-Dropper.Win32.Agent.eya



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 5-3-2008

[ostropio]

[quote="msc hotline sat"]Recibidos 9 ficheros infectados, se pasan a controlar con el ELISTARA 15.80 de hoy ;





antiviirus.vir - infected by Trojan-Downloader.Win32.Agent.keu

apdqnxp.dll - infected by not-a-virus:AdWare.Win32.Vapsup.bww

btrklfr.dll - infected by not-a-virus:AdWare.Win32.Vapsup.bwx

dkxrstqxrw.dll - infected by not-a-virus:AdWare.Win32.Vapsup.bts

enlfxgw.dll - infected by not-a-virus:AdWare.Win32.Vapsup.bwy

fqspogw.exe - infected by not-a-virus:AdWare.Win32.Vapsup.byt

SetupKbd.dll - infected by Trojan-Dropper.Win32.Agent.eya

zip.dll - infected by Trojan-Dropper.Win32.Agent.eya

KernelSys.dll - infected by Trojan-Dropper.Win32.Agent.eya



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 5-3-2008[/quote]



Ok muchas gracias, quieres decir que contestarás en este post ?



Saludos

[lucl]

Quiere decirte que te descargues el elistara de nuevo y lo ejecutes en tu pc, y nos pegas el log, como siempre, saludos

[ostropio]

Wed Mar 05 21:38:49 2008

EliStartPage v15.80 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

G:\ARCHIVOS DE PROGRAMA\ANTIVIIRUS.EXE --> DownLoader.Agent.KEU Renombrado a .VIR

G:\Archivos de programa\ANTIVIIRUS.EXE.VIR --> Eliminado.

G:\WINDOWS\INSTALLER\{096C4D28-3F5D-44A6-88F3-9842AD843D5C}\SETUPKBD.DLL --> Dropper.Agent.EYA Acceso Denegado.

G:\WINDOWS\INSTALLER\{E1214E46-7A78-404F-B30A-9F917E17424C}\KERNELSYS.DLL --> Dropper.Agent.EYA Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "ANTIVIIRUS"="G:\Archivos de programa\antiviirus.exe"

Eliminada Class, "{096C4D28-3F5D-44A6-88F3-9842AD843D5C}" -> G:\WINDOWS\Installer\{096c4d28-3f5d-44a6-88f3-9842ad843d5c}\SetupKbd.dll

Eliminada Class, "{39E6E4A6-E6C3-48D7-8D25-7E964D8CD46F}" -> G:\WINDOWS\dkxrstqxrw.dll

Eliminada Class, "{3C7F7F85-2AE2-4DC1-A96A-686618C39698}" -> G:\WINDOWS\Installer\{3c7f7f85-2ae2-4dc1-a96a-686618c39698}\zip.dll

Eliminada Class, "{9CF5CD0B-DED8-4AEC-9B00-80C9BCB9067D}" -> G:\WINDOWS\enlfxgw.dll

Eliminada Class, "{E1214E46-7A78-404F-B30A-9F917E17424C}" -> G:\WINDOWS\Installer\{e1214e46-7a78-404f-b30a-9f917e17424c}\KernelSys.dll

Eliminada Class, "{6F4FCA99-00EC-4FCB-98F4-0314169289AD}" -> G:\WINDOWS\btrklfr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Wed Mar 05 21:39:25 2008

EliStartPage v15.80 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Infectados\BTRKLFR.DLL --> Eliminado, AdWare.Agent.BN



Nº Total de Directorios: 6369

Nº Total de Ficheros: 51053

Nº de Ficheros Analizados: 19583

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Wed Mar 05 21:44:07 2008

EliStartPage v15.80 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

G:\WINDOWS\Installer\{e1214e46-7a78-404f-b30a-9f917e17424c}\KERNELSYS.DLL --> Acceso Denegado, Dropper.Agent.EYA (Reiniciar para Completar la Limpieza)

G:\WINDOWS\Installer\{096c4d28-3f5d-44a6-88f3-9842ad843d5c}\SETUPKBD.DLL --> Acceso Denegado, Dropper.Agent.EYA (Reiniciar para Completar la Limpieza)

G:\Infectados\BTRKLFR.DLL --> Eliminado, AdWare.Agent.BN

G:\Infectados\FQSPOGW.EXE --> Eliminado, AdWare.Agent.BN

G:\Infectados\ENLFXGW.DLL --> Eliminado, AdWare.Agent.BN(TB)

G:\Infectados\APDQNXP.DLL --> Eliminado, AdWare.Agent.BN

G:\Infectados\DKXRSTQXRW.DLL --> Eliminado, AdWare.Agent.BN(BHO)

G:\Infectados\KERNELSYS.DLL --> Eliminado, Dropper.Agent.EYA

G:\Infectados\SETUPKBD.DLL --> Eliminado, Dropper.Agent.EYA

G:\Infectados\ZIP.DLL --> Eliminado, Dropper.Agent.EYA

G:\Infectados\ANTIVIIRUS.VIR --> Eliminado, DownLoader.Agent.KEU



Nº Total de Directorios: 4223

Nº Total de Ficheros: 37476

Nº de Ficheros Analizados: 14109

Nº de Ficheros Infectados: 11

Nº de Ficheros Limpiados: 9

[msc hotline sat]

Pues date cuenta de que faltan eliminar dos:



EliStartPage v15.80 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

G:\WINDOWS\Installer\{e1214e46-7a78-404f-b30a-9f917e17424c}\KERNELSYS.DLL --> Acceso Denegado, Dropper.Agent.EYA (Reiniciar para Completar la Limpieza)

G:\WINDOWS\Installer\{096c4d28-3f5d-44a6-88f3-9842ad843d5c}\SETUPKBD.DLL --> Acceso Denegado, Dropper.Agent.EYA (Reiniciar para Completar la Limpieza)



Mira tras reiniciar si ya se han eliminado estas dos DLL, que debian estar en uso cuando probaste el ELISTARA, y si aun estan mira si las puedes eliminar a mano (boton derecho -> eliminar) y sino ya te diriamos como.



saludos



ms, 6-3-2008

[guille92]

hola me presento soy guillermo de sevilla.



a pesar de utilizar el karpersky, el spybot, searck and destroy y el AVG, he conseguido quitar el fondo de escritorio rojo con el dichoso mensaje de privacy is in danger, quedandose en blanco el fondo de escrotorio, aunque sin dejarlo modificar por otro fondo de la galeria de imagenes.

ahora se me abren algunos banner diciendome que mi sistema está en peligro, que si el worm32, que si... yo creo que todo es publicidad.

aqui van los logs a ver si me podeis ayudar. gracias.



Thu Apr 10 00:18:49 2008

EliTriIP v4.60 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SVKP.SYS --> Eliminado



Thu Apr 10 00:19:09 2008

EliTriIP v4.60 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7138

Nº Total de Ficheros: 89834

Nº de Ficheros Analizados: 24030

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Apr 10 00:42:19 2008

EliTriIP v4.60 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 1066

Nº Total de Ficheros: 6605

Nº de Ficheros Analizados: 249

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Apr 10 00:42:59 2008

EliTriIP v4.60 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Apr 10 00:43:12 2008

EliStartPage v16.03 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\6L6W8.COM --> Eliminado, PWS-OnLineGames.AMVO

C:\GY.CMD --> Eliminado, PWS-OnLineGames.AMVO

C:\QWC.EXE --> Eliminado, PWS-OnLineGames.AMVO

C:\Documents and Settings\Guillermo\Escritorio\MIRC.EXE --> Eliminado, mIRC(chat)



Nº Total de Directorios: 7139

Nº Total de Ficheros: 90361

Nº de Ficheros Analizados: 14409

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



Thu Apr 10 00:55:02 2008

EliStartPage v16.03 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\6L6W8.COM --> Eliminado, PWS-OnLineGames.AMVO

D:\GY.CMD --> Eliminado, PWS-OnLineGames.AMVO

D:\QWC.EXE --> Eliminado, PWS-OnLineGames.AMVO



Nº Total de Directorios: 1066

Nº Total de Ficheros: 6605

Nº de Ficheros Analizados: 65

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3





POR OTRO LADO EL HIJACK



Logfile of HijackThis v1.99.1

Scan saved at 0:59:02, on 10/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Documents and Settings\All Users\Datos de programa\kxunclit\cvsxcdkx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\pspvideo9\pspVideo9.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Acrobat 7.0\Distillr\Acrotray.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\unepqrwz.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\ScsiAccess.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Cisco Systems\VPN Client\vpngui.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jucheck.exe

D:\Emule Downloadings\SPYWARE\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [Easycapturethumb] C:\Archivos de programa\Easy Capture & Thumbnail\ezcapthumb.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [SBI] C:\Documents and Settings\Guillermo\Configuración local\Archivos temporales de Internet\Content.IE5\8TIRGD6N\install_sbd_es[1].exe

O4 - HKLM\..\Run: [bm] "C:\Archivos de programa\Archivos comunes\BarreraIntegral\bm.exe" dm=http://barreraintegral.com ad=http://barreraintegral.com sd=http://bambino2.barreraintegral.com

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [PSPVideo9] C:\Archivos de programa\pspvideo9\pspVideo9.exe -t

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [nvaknnfp] C:\WINDOWS\system32\unepqrwz.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [gisrncbq] C:\WINDOWS\system32\khujktwv.exe

O4 - HKCU\..\Run: [vwjpdevf] C:\WINDOWS\system32\bcbivcdw.exe

O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Archivos de programa\VPN Client\vpngui.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Kodak software updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: QuickTV.lnk = C:\Archivos de programa\AVERTV2K\QuickTV.exe

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www1.aeat.es/imagenes/comun/cactivex.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1889CDA2-0694-42B0-801B-8A6C104F3065}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{1889CDA2-0694-42B0-801B-8A6C104F3065}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{1889CDA2-0694-42B0-801B-8A6C104F3065}: NameServer = 80.58.61.250,80.58.61.254

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: KbdRunOnce - {54cd1abf-4efb-4ac8-bd02-5ca50b77fdb7} - C:\WINDOWS\Installer\{54cd1abf-4efb-4ac8-bd02-5ca50b77fdb7}\KbdRunOnce.dll (file missing)

O21 - SSODL: qdnkewfa - {9C82F348-944E-482F-8826-77C998AE9E86} - C:\WINDOWS\qdnkewfa.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

[msc hotline sat]

Pues gulle92, abre un nuevo Tema con tu caso, ya que este está a punto de cerrarse y tu infeccion parece ser de otro FAKE ALERT.



Paralelamente envianos estos ficheros para analizar:



C:\Documents and Settings\All Users\Datos de programa\kxunclit\cvsxcdkx.exe



C:\WINDOWS\system32\unepqrwz.exe



C:\Archivos de programa\Easy Capture & Thumbnail\ezcapthumb.exe



C:\Documents and Settings\Guillermo\Configuración local\Archivos temporales de Internet\Content.IE5\8TIRGD6N\install_sbd_es[1].exe



C:\WINDOWS\system32\khujktwv.exe



C:\WINDOWS\system32\bcbivcdw.exe



C:\WINDOWS\qdnkewfa.dll





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y seguiremos donde abras el nuevo Tema, en el que debes empezar posteando el SPROCLOG.TXT generado por el SPROCES, pues los FAKE ALERT acostumbran a esconderse en zonas del registro no visibles en el log del HJT:




[quote]SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]

saludos



ms, 10-04-2008