AYUDAA!!creo que tengo viruss

[dtbmaria]

holaa, creo que tengo algun virus en el ordenador pero no lo se seguro. A ver si alguien me puede ayudarr y decidme que me tengo que bajar. A veces se reinicia el ordenador(pocas veces), y sobretodo se me queda pillado el ordenador.

me bajao el antivirus avira, el spybot serarch & detroy, ccleaner, ad watch, hijackthis, removeIT PRO 4.36 enterprise.

Este ultimo es el que me informa de un virus, pero como es una version de prueba, no lo puedo eliminar y nose como quitarlo..nose si es el virus ese que me da tantos problemas.

Os pongo algunos reportes, que he visto en algunos foros que asi pueden ayudar, a ver si alguien me puede echar un cable:P



Logfile of HijackThis v1.99.1

Scan saved at 23:56:58, on 19/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Archivos de programa\WMonitor\WLService.exe

C:\Archivos de programa\WMonitor\WLanCfgG.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\WMonitor\InfoMyCa.exe

C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\documents and settings\angel\configuración local\datos de programa\ibxrce.exe

C:\Archivos de programa\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe

C:\Archivos de programa\VIA\RAID\raid_tool.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\angel\CONFIG~1\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telefonica.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~2\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [CTUtility000000] C:\WINDOWS\SetDSL.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 9 run

O4 - HKLM\..\Run: [Getca] C:\Archivos de programa\WMonitor\InfoMyCa.exe

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\CCleaner.exe" /AUTO

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ibxrce] c:\documents and settings\angel\configuración local\datos de programa\ibxrce.exe ibxrce

O4 - HKCU\..\Run: [RemoveIT Pro XT] C:\Archivos de programa\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe

O4 - Startup: QuickTV.lnk = C:\Archivos de programa\AVerTV\QuickTV.exe

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe

O4 - Global Startup: Consola KIT ADSL.lnk = C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~2\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~2\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~2\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~2\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D4EE2251-592F-485F-BEF6-2C70A71B5121}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~2\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~2\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: 54Mbps Wireless Network Service (54Mbps Wireless Network) - Unknown owner - C:\Archivos de programa\WMonitor\WLService.exe

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe



------------------- Este reporte que he puesto de hickthiss nose si tengo que quitar algo o no, quite dos archivoss hace dos semanas o asi siguiendoo las indicaciones de otro foroo a otra personaa, pero nosee que he hecho jajaja-------------



Con el removeIT pro v4.36 enterprise me sale:



23:56:06: Scanning, please wait...

23:59:16: Infected file (Sys32.setdsl) C:\WINDOWS\setdsl.exe

23:59:36: 1 Dangerous files has been found on your computer.

Click on "Fix" button to fix selected tasks.

23:59:41: Scanning, please wait...

23:59:41: 1 Dangerous files has been found on your computer.

Click on "Fix" button to fix selected tasks.



--- En este programa(removeIT pro..) me salio otras cosas (que ahora no me acuerdo del nombre)pero los busque en la carpeta donde estaban y los elimne(Creo que la lié un poco, pero a ver si alguien me puede ayudar)



Las demas cosas puess con ccleaner he elimnao algunos archivos, el avira creo que me detecta cosillas...pero nose.. a ver si alguienn que entiendaa ve algo mass!!!Muchass graciass de todos modoss!! mi correo es dtbmaria2@hotmail.com



GRACIASSS!!!!!!!!!

[Claudia34]

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp



Y para complementar (opcional en algunos casos):



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469





Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



¿Como arrancar en modo a prueba de fallos?



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Y pruebate el kaspersky antivirus online que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.



https://www.kaspersky.es/downloads/thank-you/free-antivirus-download



Y para el tema de los autorun descargate del siguiente enlace el elipen:



http://www.zonavirus.com/descargas/elipen.asp



Saludos.

[msc hotline sat]

Tienes estos ficheros sospechosos, envienoslos para analizar:



C:\documents and settings\angel\configuración local\datos de programa\ibxrce.exe



C:\Archivos de programa\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe



C:\WINDOWS\SetDSL.exe





Para ello recuerde:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 20-05-2008

[dtbmaria]

muchisimasssss gracias de antemanoo a loss doss!! DE VERDAD!!

Claudia, he hecho lo que me has dicho, me he descargado las herramientas que me pusiste(que x cierto, gracias por indicarme las paginas). Lo que no he podido es escanear el ordenador con kaspersky, me sale un error de q esta dañado o algo asi y no m deja. Lo intente con el modo a prueba de fallos,pero no me va internet y no lo pude poner. Te pongo ls reportes de las herramientas que me pusistes. Lo de elinotif.. me lo descargue pero no se que tengo que hacer con ese archivo. Puse todo lo que me mandaste en una carpeta, lo dejo ahi ese archivo?



te pongo los reportes:



Tue May 20 10:01:50 2008

EliStartPage v16.30 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "IBXRCE"="c:\documents and settings\angel\configuración local\datos de programa\ibxrce.exe ibxrce"



Tue May 20 10:22:10 2008

EliStartPage v16.30 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "IBXRCE"="c:\documents and settings\angel\configuración local\datos de programa\ibxrce.exe ibxrce"

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue May 20 10:22:31 2008

EliStartPage v16.30 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\DelPSGuard\DPSG.EXE --> Eliminado, Generic.Packed



Nº Total de Directorios: 3717

Nº Total de Ficheros: 60152

Nº de Ficheros Analizados: 16525

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Tue May 20 10:31:55 2008

EliStartPage v16.30 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 50

Nº Total de Ficheros: 6114

Nº de Ficheros Analizados: 6

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue May 20 10:32:15 2008

EliStartPage v16.30 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 836

Nº Total de Ficheros: 16619

Nº de Ficheros Analizados: 1533

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue May 20 10:33:22 2008

EliStartPage v16.30 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 7

Nº Total de Ficheros: 44

Nº de Ficheros Analizados: 37

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue May 20 10:33:37 2008

EliStartPage v16.30 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue May 20 10:33:41 2008

EliStartPage v16.30 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad A:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue May 20 10:35:24 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Tue May 20 10:35:41 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\angel\Mis documentos\Angel\Mis documentos\Mis archivos recibidos\COSAS Q MANDAN D ORDENADO YESO\skypesetup.exe --> Eliminado, SdBot.worm.gen.G

C:\Documents and Settings\angel\Mis documentos\Mis archivos recibidos\COSAS Q MANDAN D ORDENADO YESO\skypesetup.exe --> Eliminado, SdBot.worm.gen.G



Nº Total de Directorios: 3716

Nº Total de Ficheros: 60155

Nº de Ficheros Analizados: 15318

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Tue May 20 10:39:59 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 50

Nº Total de Ficheros: 6114

Nº de Ficheros Analizados: 4

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue May 20 10:40:16 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 836

Nº Total de Ficheros: 16619

Nº de Ficheros Analizados: 1019

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue May 20 10:41:09 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 7

Nº Total de Ficheros: 44

Nº de Ficheros Analizados: 31

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue May 20 10:41:20 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



------------------------------------



te pongo tambien el reporte nuevo que m ha salido en hijackthis por si hace falta!!



Logfile of HijackThis v1.99.1

Scan saved at 12:01:19, on 20/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Archivos de programa\WMonitor\WLService.exe

C:\Archivos de programa\WMonitor\WLanCfgG.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\WMonitor\InfoMyCa.exe

C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\documents and settings\angel\configuración local\datos de programa\ibxrce.exe

C:\Archivos de programa\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe

C:\Archivos de programa\VIA\RAID\raid_tool.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avscan.exe

C:\ARCHIV~2\WinZip\winzip32.exe

C:\DOCUME~1\angel\CONFIG~1\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telefonica.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~2\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [CTUtility000000] C:\WINDOWS\SetDSL.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 9 run

O4 - HKLM\..\Run: [Getca] C:\Archivos de programa\WMonitor\InfoMyCa.exe

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\CCleaner.exe" /AUTO

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ibxrce] c:\documents and settings\angel\configuración local\datos de programa\ibxrce.exe ibxrce

O4 - HKCU\..\Run: [RemoveIT Pro XT] C:\Archivos de programa\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe

O4 - Startup: QuickTV.lnk = C:\Archivos de programa\AVerTV\QuickTV.exe

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe

O4 - Global Startup: Consola KIT ADSL.lnk = C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~2\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~2\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~2\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~2\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D4EE2251-592F-485F-BEF6-2C70A71B5121}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~2\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~2\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: 54Mbps Wireless Network Service (54Mbps Wireless Network) - Unknown owner - C:\Archivos de programa\WMonitor\WLService.exe

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe



--------------



Los archivos que me dice "msc hotline sat"---- Esos ficheros¿como los envio para analizarlos?? o que tengo que hacer con ellos?? los tengo que eliminar del hijackthis??



MUCHISIMASSS GRACIASSS DE VERDADD EHH!!!! saludoss

[msc hotline sat]

No elimine nada manualmente, ya lo haran nuestras utilidades, y las muestras para analizar, ha de enviarlas segun indicamos en:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y cuando se quiiere acceder a Internet en modo segur0 , debe escogerse arrancar en modo segur0 CON FUNCIONES DE RED



El ELINOTIF.DLL es una libreria que utiliza el ELISTARA si la necesita, solo debe descargarla y ponerla en la misma carpeta que el ELISTARA, y probar este último y seguir las indicaciones.



Voy a analizar el log del HJT por si veo algo mas, pero las utilidades ya han hecho buena limpieza !



saludos



ms, 20-05-2008





NOTA:



Analizado el ultmo log del HJT, persisten los sospechosos de los cuales se han pedido muestras para analizar. Proceda con ello. ms.

[msc hotline sat]

Recibidas muestras para analizar, se implementa el control y eliminacion de una nueva variante del NAVIPROMO en la version 16.31 del ELISTARA de hoy.



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 20-05-2008

[dtbmaria]

muchisimass gracias por la ayudaa. No he entendido muy bien lo de NAVIPROMO...Segun lo que he entendido, te mando el reporte del Elistar, y por si hace falta de nuevo, te pongo el de hijackthis.





Wed May 21 13:52:05 2008

EliStartPage v16.30 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "FTUDGTQ"="c:\documents and settings\angel\configuración local\datos de programa\ftudgtq.exe ftudgtq"

Entrada Eliminada [HKCU\...\Run] "IBXRCE"="c:\documents and settings\angel\configuración local\datos de programa\ibxrce.exe ibxrce"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed May 21 13:52:41 2008

EliStartPage v16.30 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1646

Nº Total de Ficheros: 13880

Nº de Ficheros Analizados: 7308

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Wed May 21 14:09:30 2008

EliStartPage v16.30 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "FTUDGTQ"="c:\documents and settings\angel\configuración local\datos de programa\ftudgtq.exe ftudgtq"

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed May 21 14:10:06 2008

EliStartPage v16.30 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3727

Nº Total de Ficheros: 60732

Nº de Ficheros Analizados: 16554

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 21 15:27:40 2008

EliStartPage v16.30 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 50

Nº Total de Ficheros: 6114

Nº de Ficheros Analizados: 6

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 21 15:34:59 2008

EliStartPage v16.30 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 838

Nº Total de Ficheros: 16629

Nº de Ficheros Analizados: 1533

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 21 15:36:32 2008

EliStartPage v16.30 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 7

Nº Total de Ficheros: 44

Nº de Ficheros Analizados: 37

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 21 15:36:46 2008

EliStartPage v16.30 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 19 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 21 15:37:31 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Wed May 21 15:37:36 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3720

Nº Total de Ficheros: 60734

Nº de Ficheros Analizados: 15345

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 21 15:41:55 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 50

Nº Total de Ficheros: 6114

Nº de Ficheros Analizados: 4

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 21 15:42:26 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 838

Nº Total de Ficheros: 16629

Nº de Ficheros Analizados: 1019

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 21 15:43:11 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 7

Nº Total de Ficheros: 44

Nº de Ficheros Analizados: 31

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 21 15:43:22 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad A:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





--------------------------------------------------------------------------



Te pongo el reporte de Hijackthis.



Logfile of HijackThis v1.99.1

Scan saved at 17:02:48, on 21/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Archivos de programa\WMonitor\WLService.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Archivos de programa\WMonitor\WLanCfgG.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\WMonitor\InfoMyCa.exe

C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe

C:\Archivos de programa\VIA\RAID\raid_tool.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\Notepad.exe

C:\ARCHIV~2\WinZip\winzip32.exe

C:\DOCUME~1\angel\CONFIG~1\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~2\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [CTUtility000000] C:\WINDOWS\SetDSL.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 9 run

O4 - HKLM\..\Run: [Getca] C:\Archivos de programa\WMonitor\InfoMyCa.exe

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\CCleaner.exe" /AUTO

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [RemoveIT Pro XT] C:\Archivos de programa\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe

O4 - Startup: QuickTV.lnk = C:\Archivos de programa\AVerTV\QuickTV.exe

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe

O4 - Global Startup: Consola KIT ADSL.lnk = C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~2\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~2\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~2\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~2\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D4EE2251-592F-485F-BEF6-2C70A71B5121}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~2\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~2\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: 54Mbps Wireless Network Service (54Mbps Wireless Network) - Unknown owner - C:\Archivos de programa\WMonitor\WLService.exe

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe





-----------------------------------------------------------------------



Muchisimass graciasss por todoooo!!!!!

Espero que me informen si ya esta todo limpio o tengo que seguir analizando cosas.

Ademas, si no es mucha molestia, a ver si me podeis decir si el antivirus que tengo, el avira, es bueno. DE momento creo q me detecta y elimina las cosillas, pero me gustaria tener vuestro consejo. A sido el unico que he visto que iba mejor, dentro de los antivirus gratuitos.

Muchass graciass por todoo!!! soiss geniales!!

[dtbmaria]

Acabo de mirar el programa que tngo de RemoveIT pro v4.36 enterprise (lo tengo de pruebaa y no puedo nada mas q ver lo infectado(sin limpiar)) y me sale infectado el siguiente archivo C:\WINDOWS\setdsl.exe

[msc hotline sat]

Pues es uno que se presta a posible duda o sospecha, pero buscando informacion al respecto en internet vemos:


[quote]El SetDSL.exe es un archivo que instalan muchos proveedores de servicios DSL, sirve para gestionar el protocolo de paso de datos por el dsl, es decir, activa el módulo ppp o eht o el que sea requerido para la conexión.



Es un proceso no indispensable pese a su importancia dado que otros archivos y librerías de la configuración del servicio pueden hacer lo mismo. Así que es algo que se puede eliminar o dejar funcionando sin problemas, al menos en la mayoría de los casos.[/quote]

y de hecho se lo pedimos como muestra para analizar, pero no lo hemos considerado malware.



Voy a subirlo al VirusTotal a ver si lo detecta alguien, aparte de alguno como sospechoso y posteo el resultado...



Efectivamente, de 32 antivirus, 3 lo consideran sospechoso y solo 1 como malware ... :



http://www.virustotal.com/analisis/53f7c33e60aaf60df802bb19896d1be5



Lo consideramos un falso positivo. No aconsejamos hacer nada con él, pero si lo quiere eliminar, renombre su extension a .VIR y en el siguiente reinicio ya no estará en uso, caso que ahora estuviera activo y windows se lo impidier ELIMINAR.



Y el AVIRA es un antivirus mas, y como siempre indicamos, escoja el que mas le guste, al menos que cuando se infecte sea con uno a su gusto ! :wink: LO IMPORTANTE ES MANTENERLO RESIDENTE Y ACTUALIZADO AL DIA.



saludos



ms, 21-05-2008

[jujica]

BUENAS



Acabo de pasar hijackthis y me a dado esto:

Logfile of HijackThis v1.99.1

Scan saved at 21:14:18, on 21/5/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

C:\Archivos de programa\Dell Photo AIO Printer 922\dlbtbmgr.exe

C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Archivos de programa\Dell Photo AIO Printer 922\dlbtbmon.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Ares\Ares.exe

C:\WINDOWS\VdCap03C\StillMnt.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\ntvdm.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-us\msntb.dll

O2 - BHO: Freeze.com Helper - {D6A99B1F-FAB9-4FA5-9C9D-D0D0CF846C05} - C:\Archivos de programa\YourScreen\Freeze.DesktopManager.BrowserHelper.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-us\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [StillMnt] WCamRmv.exe /StartStillMnt

O4 - HKLM\..\Run: [CtrlMod20] C:\DOCUME~1\Maximo\CONFIG~1\Temp\ctrlAT20.exe -m 64 -p"D:"

O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Archivos de programa\Dell Photo AIO Printer 922\dlbtbmgr.exe"

O4 - HKLM\..\Run: [DVDLauncher] "C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: Yahoo! Literati - http://download2.games.yahoo.com/games/clients/y/tt5_x.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{A8167107-885E-40C2-978E-D0C13D2BA8B8}: NameServer = 85.255.113.197,85.255.112.128

O17 - HKLM\System\CCS\Services\Tcpip\..\{ABCB0C02-FB83-4629-AC2A-02FEC19A380B}: NameServer = 85.255.113.197,85.255.112.128

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.197 85.255.112.128

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.197 85.255.112.128

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.197 85.255.112.128

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe



Alguien me puede decir q es????

[msc hotline sat]

Pues dos cosas:



1.- Mira de enviarnos este fichero:



C:\DOCUME~1\Maximo\CONFIG~1\Temp\ctrlAT20.exe



y si no lo encuentras, elimina su clave de carga:



O4 - HKLM\..\Run: [CtrlMod20] C:\DOCUME~1\Maximo\CONFIG~1\Temp\ctrlAT20.exe -m 64 -p"D:"





y 2.- Tienes como servidores de DNS unos maliciosos de Ukraina:



O17 - HKLM\System\CCS\Services\Tcpip\..\{A8167107-885E-40C2-978E-D0C13D2BA8B8}: NameServer = 85.255.113.197,85.255.112.128

O17 - HKLM\System\CCS\Services\Tcpip\..\{ABCB0C02-FB83-4629-AC2A-02FEC19A380B}: NameServer = 85.255.113.197,85.255.112.128

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.197 85.255.112.128

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.197 85.255.112.128

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.197 85.255.112.128


[quote]85.255.113.197 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.



85.255.112.128 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd. [/quote]

Pregunta a tu ISP cuales son los que recomienda usar y procede con el CONFGDNS.EXE a instalar los que te diga:



DESCARGA DE CONFGDNS.EXE:

http://www.zonavirus.com/descargas/confgdns.asp



saludos



ms, 21-05-2008