Isass.exe y Fijsifj.exe

[carloshbk]

hola a todos soy nuevo aki... casi no los encuentroo me los habian recomendado pero busque mal en la web y habia recaido en otro foro :(



mi probblema es con estos dos archivos Isass.exe y Fijsifj.exe y otros ams q ni idea



en el otro foro la solucion que me dieron era que me bajara este programa malwarebytes antimalware y q utlizara una herramientaahi para borrar esos archivos pero no funciono :cry:



este es mi reporte de elistara cabe decir que sigue apareciendome el reporte del virus y la pc esta super lenta





Sat Apr 05 20:50:05 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Apr 05 20:50:27 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\spool\drivers\w32x86\hpphotosmart_c3100_s4080\HPZ3A054.DLL --> Eliminado, MoviePass

C:\Archivos de programa\Java\jre1.6.0_02\bin\JLI.DLL --> Eliminado, SpyBurner

C:\Archivos de programa\Java\jre1.6.0_03\bin\JLI.DLL --> Eliminado, SpyBurner

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ISEE.EXE --> Eliminado, AutoRun.CZG

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ISE32.EXE --> Eliminado, AutoRun.CZG



Nº Total de Directorios: 4885

Nº Total de Ficheros: 48551

Nº de Ficheros Analizados: 10024

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 7



Sat Apr 05 20:55:29 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 508

Nº Total de Ficheros: 9832

Nº de Ficheros Analizados: 558

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Apr 05 20:56:19 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 264

Nº Total de Ficheros: 2071

Nº de Ficheros Analizados: 222

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Sat Apr 05 20:57:22 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 5

Nº Total de Ficheros: 27

Nº de Ficheros Analizados: 16

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Apr 05 20:57:40 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 5

Nº Total de Ficheros: 27

Nº de Ficheros Analizados: 16

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Apr 05 20:57:41 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 5

Nº Total de Ficheros: 27

Nº de Ficheros Analizados: 16

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



muchas gracias por su ayuda

[carloshbk]

q pena.... equivoque la seccion :oops: por ponerlo rapido haber si alguien lo mueve saludosss :mrgreen:

[msc hotline sat]

Pues envianos estos ficheros que dices y los analizaremos:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Pero de entrada posteanos el log del HJT para ver lo que tienes:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos





saludos



ms, 6-4-2008

[carloshbk]

hola gracias por tu respuesta



los problemas continuan asi q pongo aqui mi log del hijackthis



ComboFix 08-04-03.3 - Administrador 2008-04-06 11:13:27.1 - [color=red][b]FAT32[/b][/color]x86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.245 [GMT -5:00]

Se ejecuta desde: C:\Documents and Settings\Administrador\Escritorio\ComboFix.exe

* Creado un nuevo punto de restauración

* Resident AV is active





[color=red][b]ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION! [/b][/color]

.



(((((((((((((((((( Archivos creados desde 2008-03-06 - 2008-04-06 )))))))))))))))))))))))))))))))))

.



2008-04-05 20:16 . 2008-04-05 20:45 223,307 --a------ C:\Isass.exe

2008-04-04 21:58 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2008-04-04 21:58 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2008-04-04 21:58 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-04-04 21:58 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2008-04-04 21:57 . 2008-04-04 21:57 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\PC Tools

2008-04-04 21:57 . 2008-04-04 21:57 <DIR> d-------- C:\Archivos de programa\Spyware Doctor

2008-04-04 21:51 . 2008-04-04 21:51 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab

2008-04-04 21:51 . 2008-04-04 21:51 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab

2008-04-03 23:25 . 2008-04-03 23:25 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuraci¾n local

2008-04-03 23:25 . 2008-04-03 23:25 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuraci¾n local

2008-04-03 23:25 . 2008-04-03 23:25 <DIR> d-------- C:\Documents and Settings\LocalService\Configuraci¾n local

2008-04-03 23:25 . 2008-04-03 23:25 <DIR> d-------- C:\Documents and Settings\Administrador\Configuraci¾n local

2008-04-03 16:52 . 2008-04-03 16:52 <DIR> d-------- C:\WINDOWS\system32\xircom

2008-04-03 16:52 . 2008-04-03 16:52 <DIR> d-------- C:\WINDOWS\system32\oobe

2008-04-03 16:52 . 2008-04-03 16:52 <DIR> d-------- C:\WINDOWS\srchasst

2008-04-03 16:52 . 2008-04-03 16:52 <DIR> d-------- C:\WINDOWS\msagent

2008-04-03 16:52 . 2008-04-03 16:52 <DIR> d-------- C:\Archivos de programa\microsoft frontpage

2008-04-03 16:36 . 2008-04-03 16:36 <DIR> d-------- C:\Archivos de programa\CCleaner

2008-04-03 13:39 . 2008-04-03 13:39 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes

2008-04-03 13:39 . 2008-04-03 13:40 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Malwarebytes

2008-04-03 13:39 . 2008-04-03 13:39 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware

2008-04-03 12:36 . 2008-04-03 12:36 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com

2008-04-03 12:36 . 2008-04-03 12:36 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com

2008-04-03 12:36 . 2008-04-03 12:36 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware

2008-04-02 16:54 . 2008-04-02 16:54 <DIR> d-------- C:\Archivos de programa\Trend Micro

2008-04-01 16:17 . 2008-04-01 16:17 <DIR> d--h----- C:\WINDOWS\PIF

2008-03-28 20:01 . 2008-03-28 20:01 <DIR> d--hs---- C:\FOUND.008

2008-03-25 16:51 . 2008-03-25 16:51 <DIR> d-------- C:\Documents and Settings\LocalService\Menú Inicio

2008-03-24 09:42 . 2008-03-24 09:43 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\fretsonfire

2008-03-22 11:56 . 2006-07-14 10:40 332,288 --------- C:\WINDOWS\system32\dllcache\netapi32.dll

2008-03-22 10:38 . 2008-03-22 10:38 <DIR> d-------- C:\Archivos de programa\RegCure

2008-03-17 10:37 . 2008-03-17 10:37 <DIR> d-------- C:\Archivos de programa\UltraVNC

2008-03-17 10:37 . 2008-03-17 10:37 38 --a------ C:\WINDOWS\system32\'

2008-03-12 18:35 . 2008-03-12 18:35 <DIR> d-------- C:\Archivos de programa\uTorrent

2008-03-12 18:34 . 2008-03-12 18:34 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\uTorrent



.

(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-02 20:36 4,608 ----a-w C:\WINDOWS\system32\w95inf32.dll

2008-03-02 20:35 --------- d-----w C:\Archivos de programa\Auralog

2008-03-01 21:42 --------- d-----w C:\Archivos de programa\inKline Global

2008-02-27 21:52 --------- d-----w C:\Archivos de programa\Frets on Fire

2008-02-18 02:25 --------- d-----w C:\Archivos de programa\Archivos comunes\xing shared

2008-02-10 00:33 --------- d-----w C:\Archivos de programa\DivX

2008-01-11 11:37 44,544 ------w C:\WINDOWS\system32\dllcache\pngfilt.dll

2006-11-24 04:33 499,712 ----a-w C:\Documents and Settings\Administrador\msvcp71.dll

2004-11-30 16:49 1,867,776 ----a-w C:\Documents and Settings\Administrador\python24.dll

2003-02-21 21:42 348,160 ----a-w C:\Documents and Settings\Administrador\msvcr71.dll

2006-05-03 15:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll

2007-02-21 16:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll

2007-07-29 17:45 285,184 --sh--r C:\WINDOWS\system32\vzqrkipwe.exe

.



------- Sigcheck -------



2007-07-29 12:46 579072 237fb93c6b4330d8ee7d2448cf71c5ed C:\WINDOWS\system32\user32.dll



2007-04-25 10:26 823808 3f87b114c97989298d809a44664f8a29 C:\WINDOWS\system32\wininet.dll

2007-12-07 03:08 824832 2f64cd8de55062c6f1e2b57c4c04b72f C:\WINDOWS\system32\dllcache\wininet.dll

2007-06-27 16:14 824320 1470d960859c457b960b47aa5d42edae C:\WINDOWS\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll

2007-08-20 11:49 825344 07a4f67f6765ada95288def748098a1a C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll

2007-10-11 00:22 825344 dc0f96ce8fc14595a2f6627684df7889 C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll

2007-12-07 02:42 825344 cdcf0928334265a9c43ece2695481bfe C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll

2007-07-29 12:46 668160 f83ea3cc10363e54aa27df3f1a291dbc C:\WINDOWS\ie7\wininet.dll

2007-04-25 10:26 823808 3f87b114c97989298d809a44664f8a29 C:\WINDOWS\ie7updates\KB937143-IE7\wininet.dll

2007-04-25 10:26 823808 3f87b114c97989298d809a44664f8a29 C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll

2007-04-25 10:26 823808 3f87b114c97989298d809a44664f8a29 C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll

2007-04-25 10:26 823808 3f87b114c97989298d809a44664f8a29 C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll



2007-07-29 12:46 2061824 fda9504c4993043ef75ad2f59cd6daba C:\WINDOWS\system32\ntkrnlpa.exe



2007-07-29 12:46 2184576 61bdb2667827d484604c9a09248d6223 C:\WINDOWS\system32\ntoskrnl.exe



2007-07-29 12:45 953856 e9c19fd131d46eb3ef52b7a31ef33a90 C:\WINDOWS\explorer.exe

2007-07-29 12:45 1035776 dbb6b75cc6cb2cf8ec0bafca08aed6be C:\WINDOWS\XPize\Backup\explorer.exe

.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TaskSwitchXP"="C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29 62976]

"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.exe" [2007-11-07 15:34 3739672]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 13:42 30208]

"IDMan"="C:\Archivos de programa\Internet Download Manager\IDMan.exe" [2007-12-21 07:08 931760]

"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-29 16:03 1481968]

"Windows Serviece Agents"="vzqrkipwe.exe" [2007-07-29 12:45 285184 C:\WINDOWS\system32\vzqrkipwe.exe]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"="C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 12:52 339968]

"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2007-10-04 19:15 949376]

"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2008-02-17 21:24 185896]

"Windows Serviece Agents"="vzqrkipwe.exe" [2007-07-29 12:45 285184 C:\WINDOWS\system32\vzqrkipwe.exe]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Windows Serviece Agents"="vzqrkipwe.exe" [2007-07-29 12:45 285184 C:\WINDOWS\system32\vzqrkipwe.exe]



[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 13:42 30208]



[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_3"="advpack.dll" [2007-04-25 10:25 124928 C:\WINDOWS\system32\advpack.dll]



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"DisableStatusMessages"= 0 (0x0)



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoDesktopCleanupWizard"= 1 (0x1)



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoSMHelp"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

"NoResolveSearch"= 1 (0x1)



[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoSMHelp"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

"NoResolveSearch"= 1 (0x1)



[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Serviece Agents]

-r-hs---- 2007-07-29 12:45 285184 C:\WINDOWS\system32\vzqrkipwe.exe



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"HP Software Update"=C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"C:\\Archivos de programa\\FlashFXP\\FlashFXP.exe"=

"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Archivos de programa\\Windows Live\\Messenger\\wlcsdk.exe"=

"C:\\Archivos de programa\\uTorrent\\uTorrent.exe"=

"C:\\Archivos de programa\\Ares\\Ares.exe"=

"C:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=



R3 VIASens;Vinyl Sensaura WDM 3D Audio Driver;C:\WINDOWS\system32\drivers\viasens.sys [2003-11-07 01:07]

S3 PsSdk30;PsSdk30;C:\WINDOWS\system32\Drivers\PsSdk30.drv []

S3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2007-07-29 14:47]

S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2007-07-29 14:47]



*Newly Created Service* - CATCHME



[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe

.

Contenido de carpeta 'Tareas Programadas'

"2008-03-21 22:22:30 C:\WINDOWS\Tasks\Mantenimiento con 1 clic.job"

- C:\Archivos de programa\TuneUp Utilities 2007\SystemOptimizer.exe

"2008-03-22 15:38:08 C:\WINDOWS\Tasks\RegCure.job"

- C:\Archivos de programa\RegCure\RegCure.exe

"2008-04-06 15:55:48 C:\WINDOWS\Tasks\RegCure Program Check.job"

- C:\Archivos de programa\RegCure\RegCure.exe

.

**************************************************************************



catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-06 11:16:12

Windows 5.1.2600 Service Pack 2 FAT NTAPI



escaneando procesos ocultos ...



escaneando entradas ocultas de autostart ...



escaneando archivos ocultos ...



el escaneo se completo con exito

archivos ocultos: 0



**************************************************************************



[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PsSdk30]

"ImagePath"="\??\C:\WINDOWS\system32\Drivers\PsSdk30.drv"

.

--------------------- DLLs cargados bajo los procesos en ejecución ---------------------



PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\Ati2evxx.dll



PROCESS: C:\WINDOWS\system32\lsass.exe

-> C:\Archivos de programa\Eset\pr_imon.dll

.

Tiempo completado: 2008-04-06 11:16:57

ComboFix-quarantined-files.txt 2008-04-06 16:16:54

ComboFix3.txt 2008-04-03 21:49:20

ComboFix2.txt 2008-04-04 04:25:56

8 dirs 2,417,639,424 bytes libres

21 dirs 2,408,660,992 bytes libres

.

2008-03-22 17:01:47 --- E O F ---



gracias por su ayuda

[msc hotline sat]

Esto que has posteado no es el log del HJT.



Revisa lo que te decia en mi ultimo post...



Cuando lo postees, seguiremos



saludos



ms, 6-4-2008

[carloshbk]

huy si q pena hasta ahora em doy cuenta copie el log que no era aki les dejo hijacthis.txt



Logfile of HijackThis v1.99.1

Scan saved at 14:13:26, on 06/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\HijackThis.exe

C:\WINDOWS\system32\Notepad.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Archivos de programa\Internet Download Manager\IDMIECC.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Archivos de programa\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ARCHIV~1\FlashFXP\IEFlash.dll

O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Archivos de programa\Save Flash\SaveFlash.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Windows Serviece Agents] vzqrkipwe.exe

O4 - HKLM\..\RunServices: [Windows Serviece Agents] vzqrkipwe.exe

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [IDMan] C:\Archivos de programa\Internet Download Manager\IDMan.exe /onboot

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [Windows Serviece Agents] vzqrkipwe.exe

O8 - Extra context menu item: Download all links with IDM - C:\Archivos de programa\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download FLV video content with IDM - C:\Archivos de programa\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Download with IDM - C:\Archivos de programa\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab

O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://download.sopcast.com/download/SOPCORE.CAB

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Archivos de programa\Windows Live\installer\WLSetupSvc.exe







gracias por sua yuda y perdonen las molestias :roll:

[msc hotline sat]

Hay tres claves que lanzan este fichero sospechoso vzqrkipwe.exe ...





O4 - HKLM\..\Run: [Windows Serviece Agents] vzqrkipwe.exe



O4 - HKLM\..\RunServices: [Windows Serviece Agents] vzqrkipwe.exe



O4 - HKCU\..\Run: [Windows Serviece Agents] vzqrkipwe.exe





Envianos dicho fichero y lo analizaremos



285,184 --sh--r C:\WINDOWS\system32\vzqrkipwe.exe



pero fijate que tiene atributos de oculto, sistema y read only, asi que obra en consecuencia:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





saludos



ms, 6-04-2008







NOTA: Si quieres, mientras, renombra su extension a .VIR para que al reiniciar ya no se ponga en marcha. ms