problema , apertura de pop-ups etc

[aegelm]

Buenas, ace poco me descarge unos programas y a partir de ay empezaron mis problemas.

La conexión me iba más lenta de lo normal y no me dejaba abrir ninguna página de internet explorer.

Pase el panda y no me encontró nada, decidí pasar el Elistara y me dijo que tenia 2 troyanos o algo así

uno me lo elimino pero el otro creo que no.(de todas formas yo no entiendo mucho de esto mejor lean el log)

Bueno el caso es que me sigue pasando que se me abren ventanitas que me dicen que si mi ordenador está inseguro y que si no se que. Lei que para el vundo9 hacía falta poner ELINOTIF.DLL lo he puesto y creo que sigue sin borrarlo :(





Tue Apr 22 19:15:15 2008

EliStartPage v16.14 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\TUVWPQGA] -> C:\WINDOWS\SYSTEM32\tuvWpQGA.dll

Entrada Eliminada [HKLM\...\Run] "c4678472"="rundll32.exe "C:\WINDOWS\system32\uqijhpyi.dll",b" (Vundo)

Entrada Eliminada [HKLM\...\Run] "BMc754b7ee"="Rundll32.exe "C:\WINDOWS\system32\xwmkocri.dll",s" (Vundo)

[WinLogon\Notify\TUVWPQGA]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\TUVWPQGA.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ALG.EXE.Muestra EliStartPage v16.14

a "virus@satinfo.es". Gracias.

C:\DOCUME~1\A3G\MISDOC~1\MBOLS~1\ALG.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\TUVWPQGA.DLL.Muestra EliStartPage v16.14

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TUVWPQGA.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\UQIJHPYI.DLL.Muestra EliStartPage v16.14

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\UQIJHPYI.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\XWMKOCRI.DLL.Muestra EliStartPage v16.14

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XWMKOCRI.DLL --> Renombrado a .VIR

C:\WINDOWS\PSKT.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "OOLS"=""C:\DOCUME~1\A3G\MISDOC~1\MBOLS~1\alg.exe" -vt yazb"

Entrada Eliminada [HKLM\...\Run] "runner1"="C:\WINDOWS\mrofinu1535.exe 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD325762EA4EBF968951185EFC412806867680AEDE604D64C2661373FC12E6DCD66A47"

Eliminada Carpeta "%Archivos de Programa%\InetGet2"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Tue Apr 22 19:17:20 2008

EliStartPage v16.14 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\A3G\Mis documentos\Macromedia Studio 8 Español - Spanish Completo con KeyGen { joja }\KEYGEN.EXE --> Eliminado, KeyGen.ZWT

C:\Documents and Settings\A3G\Mis documentos\puM\MDTLOADER.EXE --> Eliminado, SpyBurner



Nº Total de Directorios: 7373

Nº Total de Ficheros: 99342

Nº de Ficheros Analizados: 26336

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\BYXNGEEW.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Tue Apr 22 19:38:03 2008

EliStartPage v16.14 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\TUVWPQGA] -> C:\WINDOWS\SYSTEM32\tuvWpQGA.dll

Entrada Eliminada [HKLM\...\Run] "BMc754b7ee"="Rundll32.exe "C:\WINDOWS\system32\xwmkocri.dll",s" (Vundo)

[WinLogon\Notify\TUVWPQGA]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\TUVWPQGA.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\TUVWPQGA.DLL.Muestra EliStartPage v16.14

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TUVWPQGA.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\XWMKOCRI.DLL.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\BYXNGEEW.DLL.Muestra EliStartPage v16.14

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\BYXNGEEW.DLL --> Acceso Denegado.

Eliminada Class, "{41640601-b3f4-48a4-b60a-1311746b29a9}" -> C:\WINDOWS\system32\byXNgeEw.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\BYXNGEEW.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Tue Apr 22 19:42:55 2008

EliStartPage v16.14 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\TUVWPQGA] -> C:\WINDOWS\SYSTEM32\tuvWpQGA.dll

[WinLogon\Notify\TUVWPQGA]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\TUVWPQGA.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\TUVWPQGA.DLL.Muestra EliStartPage v16.14

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TUVWPQGA.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\BYXNGEEW.DLL.Muestra EliStartPage v16.14

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\BYXNGEEW.DLL --> Acceso Denegado.

Eliminada Class, "{52b27091-3d00-455b-82a6-697ff21d264d}" -> C:\WINDOWS\system32\byXNgeEw.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\BYXNGEEW.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Tue Apr 22 19:52:43 2008

EliStartPage v16.14 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\TUVWPQGA] -> C:\WINDOWS\SYSTEM32\tuvWpQGA.dll

[WinLogon\Notify\TUVWPQGA]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\TUVWPQGA.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\TUVWPQGA.DLL.Muestra EliStartPage v16.14

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TUVWPQGA.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\BYXNGEEW.DLL.Muestra EliStartPage v16.14

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\BYXNGEEW.DLL --> Acceso Denegado.

Eliminada Class, "{52b27091-3d00-455b-82a6-697ff21d264d}" -> C:\WINDOWS\system32\byXNgeEw.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Tue Apr 22 19:53:10 2008

EliStartPage v16.14 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7370

Nº Total de Ficheros: 99329

Nº de Ficheros Analizados: 26337

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\BYXNGEEW.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\tuvWpQGA.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\TUVWPQGA"

Detectado Vundo9

Elininada Class {efd918ba-b574-48ea-ac9b-9a63046c95c6}

Elininado BHO {efd918ba-b574-48ea-ac9b-9a63046c95c6}

Desinstalado EliNotif.dll



Tue Apr 22 20:08:43 2008

EliStartPage v16.14 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\BYXNGEEW.DLL.Muestra EliStartPage v16.14

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\BYXNGEEW.DLL --> Acceso Denegado.

Eliminada Class, "{1b30485f-e428-4296-99a6-1701d0138c82}" -> C:\WINDOWS\system32\byXNgeEw.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Tue Apr 22 20:09:49 2008

EliStartPage v16.14 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7373

Nº Total de Ficheros: 99349

Nº de Ficheros Analizados: 26342

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\BYXNGEEW.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



Saludos y espero que me puedan ayudar

[lucl]

Primero de todo envianos los archivos que tienes en C en la carpeta muestras , que te ha dejado elistara, sigue las instrucciones del link siguiente para ello



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





despues para eliminar el vundo9 debes seguir estas instrucciones que te vienen en el siguiente link



https://foros.zonavirus.com/viewtopic.php?f=5&t=23759



nos comentas tus avances, saludos

[aegelm]

Ya os envie las muestras aber si ahora consigo acer lo del vundo



Gracias por todo

[lucl]

Bien pues intentalo y nos comentas como te fue, y sobre las muestras mañana cuando las analicen te diran algo, saludos

[msc hotline sat]

Si tienes a mano el CD de instalacion, está chupado !



Si tienes algun problema, cuentanoslo



saludos



ms, 22-04-2008

[aegelm]

tengo el cd de instalacion pero tengo un pequeño problema, inicio la consola de recuperación bien asta ay bien me dice que particion quiero iniciar , pincho 1 y enter para iniciar C: , y me pide una contraseña de administrador para poder entrar... y yo no se que contraseña es esa :(



saludos y gracias¡

[lucl]

Que tienes el vista? En cualquier caso mira de enterarte quien puso la contraseña para poder acceder a ello, saludos

[aegelm]

Ese problema está ya solucionado leí que si no abias puesto ninguna contraseña no pusieras nada y pulsaras enter directamente , entre al consola y borre el archivo he buscado el archivo y efectivamente está borrado ya no me aparecen más pop-ups y tal pero para mí que sigo teniendo aún algun que otro virus porque tengo aplicaciones corriendo como Speedrunner . exe etc..

y no consigo cerrarlas he leido que está aplicación es un troyano : de todas formas os paso mi log de HijackThis para ver si conseguimos arreglar esto :D , de todas formas mil gracias¡



Logfile of HijackThis v1.99.1

Scan saved at 22:00:59, on 22/4/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\pavsrv51.exe

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\AVENGINE.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\TPSrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsCtrls.exe

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

c:\archivos de programa\panda security\panda antivirus + firewall 2008\firewall\PSHOST.EXE

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsImSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\ApvxdWin.exe

C:\Documents and Settings\A3G\Datos de programa\??sembly\?hkdsk.exe

C:\DOCUME~1\A3G\CONFIG~1\Temp\!update.exe

C:\DOCUME~1\A3G\MISDOC~1\MBOLS~1\alg.exe

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\WebProxy.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Lexmark 2400 Series\ezprint.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Real\RealPlayer\RealPlay.exe

C:\WINDOWS\system32\lxcrcoms.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Twain\Twain.exe

C:\Archivos de programa\JavaCore\JavaCore.exe

C:\Documents and Settings\A3G\Datos de programa\SpeedRunner\SpeedRunner.exe

C:\Documents and Settings\A3G\Datos de programa\Microsoft\Windows\djghq.exe

C:\Documents and Settings\A3G\Datos de programa\Microsoft\Windows\rayiou.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\A3G\Datos de programa\WinTouch\WinTouch.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: testCPV6 - {15421b84-3488-49a7-ad18-cbf84a3efaf6} - C:\Archivos de programa\CPV\CPV8.dll

O2 - BHO: {b87360c1-8de8-357b-c5c4-687c681d3486} - {6843d186-c786-4c5c-b753-8ed81c06378b} - C:\WINDOWS\system32\ggykgwqh.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {c98a64a5-a54f-f6e9-11e0-ab8f0e577e90} - C:\WINDOWS\system32\aolwp.dll

O2 - BHO: Burn4Free Toolbar Helper - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - C:\Archivos de programa\Burn4Free Toolbar\v3.3.0.0\Burn4Free_Toolbar.dll

O2 - BHO: (no name) - {eec73ea5-1367-49d1-93f4-ca1d8c22e9f9} - C:\WINDOWS\system32\tuvWpQGA.dll (file missing)

O2 - BHO: Min stor proj. - {FFFFFFFF-D71D-41e4-A699-F506DBD097F0} - msindc.dll (file missing)

O3 - Toolbar: Burn4Free Toolbar - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Archivos de programa\Burn4Free Toolbar\v3.3.0.0\Burn4Free_Toolbar.dll

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [lxcrmon.exe] "C:\Archivos de programa\Lexmark 2400 Series\lxcrmon.exe"

O4 - HKLM\..\Run: [EzPrint] "C:\Archivos de programa\Lexmark 2400 Series\ezprint.exe"

O4 - HKLM\..\Run: [FaxCenterServer] "C:\Archivos de programa\Lexmark Fax Solutions\fm3032.exe" /s

O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [RealTray] C:\Archivos de programa\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Archivos de programa\Uniblue\RegistryBooster 2\RegistryBooster.exe /S

O4 - HKCU\..\Run: [Steam] "c:\archivos de programa\steam\steam.exe" -silent

O4 - HKCU\..\Run: [AdobeUpdater] C:\Archivos de programa\Archivos comunes\Adobe\Updater5\AdobeUpdater.exe

O4 - HKCU\..\Run: [Twain] C:\Archivos de programa\Twain\Twain.exe

O4 - HKCU\..\Run: [JavaCore] C:\Archivos de programa\\JavaCore\\JavaCore.exe

O4 - HKCU\..\Run: [SpeedRunner] C:\Documents and Settings\A3G\Datos de programa\SpeedRunner\SpeedRunner.exe

O4 - HKCU\..\Run: [SfKg6wIP] C:\Documents and Settings\A3G\Datos de programa\Microsoft\Windows\djghq.exe

O4 - HKCU\..\Run: [WinTouch] C:\Documents and Settings\A3G\Datos de programa\WinTouch\WinTouch.exe

O4 - HKCU\..\Run: [SfKg6w] C:\Documents and Settings\A3G\Datos de programa\Microsoft\Windows\rayiou.exe

O4 - HKCU\..\Run: [Jnrr] "C:\Documents and Settings\A3G\Datos de programa\??sembly\?hkdsk.exe"

O4 - HKCU\..\Run: [Ools] "C:\DOCUME~1\A3G\MISDOC~1\MBOLS~1\alg.exe" -vt ndrv

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Service Manager.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F4750A81-7580-4EF8-AD10-0153EA4B5BF1}: NameServer = 195.235.113.3,195.235.96.90

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: lxcr_device - - C:\WINDOWS\system32\lxcrcoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\pavsrv51.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda antivirus + firewall 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsImSvc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\TPSrv.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)



saludos

[aegelm]

rectifico: los pop-ups siguen saliendo y paso el elistara y no encuentra nada de nada , ¿ qué mas puedo hacer?

[msc hotline sat]

Pues envianos estos ficheros para analizar:



C:\Documents and Settings\A3G\Datos de programa\??sembly\?hkdsk.exe



C:\DOCUME~1\A3G\CONFIG~1\Temp\!update.exe



C:\DOCUME~1\A3G\MISDOC~1\MBOLS~1\alg.exe



C:\Archivos de programa\Twain\Twain.exe



C:\Archivos de programa\JavaCore\JavaCore.exe



C:\Documents and Settings\A3G\Datos de programa\SpeedRunner\SpeedRunner.exe



C:\Documents and Settings\A3G\Datos de programa\Microsoft\Windows\djghq.exe



C:\Documents and Settings\A3G\Datos de programa\Microsoft\Windows\rayiou.exe



C:\Documents and Settings\A3G\Datos de programa\WinTouch\WinTouch.exe



C:\Archivos de programa\CPV\CPV8.dll



C:\WINDOWS\system32\ggykgwqh.dll



C:\WINDOWS\system32\aolwp.dll



C:\WINDOWS\system32\tuvWpQGA.dll (file missing)



C:\WINDOWS\system32\msindc.dll (file missing)





Estos dos ultimos pueden estar ocultos, recuerda:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245







y para el envio de las muestras:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras analizarlas, informaremos



saludos



ms, 23-04-2008

[aegelm]

Buenas, ayer pase el karspersky online y me detecto 5 virus pero aun sigo teniendo.Os paso los archivos de muestra que me abeis pedido pero ay 3 archivos que no encontré :(



C:\Documents and Settings\A3G\Datos de programa\??sembly\?hkdsk.exe

Este archivo no lo encuentro ya que en datos de programa no ay ninguna carpeta que se llame así , hay una que se llama assembly la abro pero no encuentro ningun ejecutable ni nada.



C:\DOCUME~1\A3G\CONFIG~1\Temp\!update.exe

Esta ruta no existe en c: no ay ninguna carpeta llamada docume~1



C:\DOCUME~1\A3G\MISDOC~1\MBOLS~1\alg.exe

Lo mismo que la anterior



las demás muestras ya os las envie por correo , ¿qué mas puedo hacer?



Un saludo¡

[flacoroo]

haz lo siguiente para ver archivos ocultos, abre explorador de windows, opcion herramientas, opcion opciones de carpetas, pestaña ver, mostrar archivos ocultos(habilitar) y deshabilitar las siguientes opciones en la misma pestaña ocultar archivos protegidos y ocultar las extensiones y despues todo aceptar y buscas los archivos que se te pide.....

[msc hotline sat]

Si ya las has buscado mirando ficheros ocultos y de sistema, como indicamos en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



es posible que ya se hayan borrado.



Analizaremos las que recibamos e informaremos



saludos



ms, 23-04-2008