Actualización automatica de Windows no funciona.

[viguerbo]

Felices fiesta amigos. De nuevo aquí con vosotros.

Esta vez se me ha colado como si fuera el programa Flash catcher bajado de Emule. Un programa que se llama Babilon.

Este programa me ha desconectado el sistema de actualizacion de Windows XP y cada 5 minutos me genera un icono en la barra de tareas con un cartel de que el PC infectado. Me activa el Explorer y me presenta una pagina de Spy protect 2009 diciendo que tengo un Malware y me ofrece previo pago el instalarse y eliminarlo.

Espero instrucciones para localizarlo y neutralizarlo.

Gracias anticipadas. Victor Guerra.

[lucl]

Pues procede a pasar elistara y elitriip



http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



luego nos pegas el infosat que te dejara en C y despues de pasar esto ejecuta sprocess y nos pegas el log que te dejara en C saludos





http://www.zonavirus.com/descargas/sproces.asp

[msc hotline sat]

Pues aunque exista un virus con este nombre (Babilon), que simula parecer el del conocido traductor Babylon, no se le conoce actividad y conviene analizarlo para pasar a controlarlo:


[quote]Nombre técnico: Babilon.1000

Peligrosidad: Virus de peligrosidad Baja

Alias: Babilon.1000

Tipo: Virus

Efectos:

Plataformas que infecta: MS-DOS

Fecha de aparición: 26 de de 2002 a las 11:19 horas

¿Está en circulación?: 0 [/quote]



Aparte de lo indicado por lucl, lance este AV ONLINE y posteenos el informe resultante:



URL=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/URL]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.



(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)





NOTA: Parece ser que ultimamente este link da LICENCIA CADUCADA, probar este otro:



http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...





saludos



ms, 27-12-2008

[viguerbo]

Hola de nuevo.

Gracias por vuestro interés.

Una pregunta: Al descargar el elistara, se me ha quedado una musiquita de navidad formato caja de musica.

¿Es vuestra o se ha colado con el Bicho?

El Elistara me ha dado Lo siguente:



Sat Dec 27 22:05:25 2008

EliStartPage v17.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\TUVUMGEW] -> C:\WINDOWS\SYSTEM32\tuvUMgEw.dll

Por favor, envienos una muestra del fichero

C:\Muestras\TUVUMGEW.DLL.Muestra EliStartPage v17.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TUVUMGEW.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\TUVUMGEW.DLL.Muestra EliStartPage v17.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TUVUMGEW.DLL --> Acceso Denegado.

Eliminada Class, "{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}" -> C:\WINDOWS\system32\tuvUMgEw.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



El Sproglog me ha dado:



Sat Dec 27 22:04:32 2008

SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: NOMBRE-30BN7NJU

Nombre Usuario: Victor Guerra



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\CONFIGFREE\CFSVCS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\EPSON\EBAPI\SAGENT2.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE

C:\WINDOWS\AGRSMMSG.EXE

C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPLPR.EXE

C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPENH.EXE

C:\WINDOWS\SYSTEM32\TPSMAIN.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TOSHIBA APPLET\THOTKEY.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\CONFIGFREE\NDSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TOSHIBA ZOOMING UTILITY\SMOOTHVIEW.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TOSHIBA CONTROLS\TFNCKY.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\WINDOWS\SYSTEM32\TPSBATTM.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TOSCDSPD\TOSCDSPD.EXE

C:\ARCHIVOS DE PROGRAMA\TOMTOM HOME 2\HOMERUNNER.EXE

C:\WINDOWS\SYSGUARD.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\DOCUMENTS AND SETTINGS\VICTOR GUERRA\CONFIGURACIóN LOCAL\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\6VZNOQWK\SPROCES[1].EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\tuvUMgEw.dll

O2 - BHO: (no name) - {73d8b7e6-ad0c-489c-8115-90aff7eff1cb} - C:\WINDOWS\system32\sscboq.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {86EE1770-B94B-4173-8D2A-2C93CE3D4205} - C:\WINDOWS\system32\qoMfcdBu.dll

O2 - BHO: SnapFlash Class - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - C:\Archivos de programa\Archivos comunes\Justdo\Jd2002.dll

O2 - BHO: (no name) - {DDAC207F-783B-4136-9564-A22EB885BFEC} - C:\WINDOWS\system32\khfFYOeb.dll (file missing)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [LaunchList] E:\Archivos de programa\LaunchList2.exe

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Archivos de programa\TomTom HOME 2\HOMERunner.exe"

O4 - HKCU\..\Run: [sysguard] C:\WINDOWS\sysguard.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [THotkey] C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [SmoothView] C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Victor Guerra\Configuración local\Archivos temporales de Internet\Content.IE5\Z3DG61CT\ELISTARA.%D8D%D8AB%D8%D8I[1].EXE

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Gamma Loader.lnk

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Save Flash with Flash Catcher - res://C:\Archivos de programa\Archivos comunes\Justdo\IECatcher.DLL/FlashCatcher.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - res://C:\Archivos de programa\Archivos comunes\Justdo\IECatcher.DLL/FlashCatcher.htm (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1217356355673

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2_04) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38159.0115393519

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} (Java Plug-in 1.4.2_04) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: TUVUMGEW - TUVUMGEW.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - - C:\WINDOWS\system32\tuvUMgEw.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.5.3.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: AWISp50 NDIS Protocol Driver (AWISp50) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\SYSTEM32\Drivers\AWISp50.sys

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: TOSHIBA Network Device Usermode I/O Protocol (Netdevio) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\netdevio.sys

O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: TOSHIBA V92 Software Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: Service for WDM 3D Audio Driver (ALCXSENS) - Sensaura - C:\WINDOWS\SYSTEM32\drivers\ALCXSENS.SYS

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Atheros Wireless Network Adapter Service (AR5211) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ar5211.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ElbyDelay - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyDelay.sys

O23 - Service: Pinnacle Marvin Bus (MarvinBus) - Pinnacle Systems GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\MarvinBus.sys

O23 - Service: Low level access layer for CD devices (Pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\Pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Ralink 802.11n USB Wireless LAN Card Driver (rt2870) - Ralink Technology, Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\rt2870.sys

O23 - Service: Realtek RTL8139/810x/8169/8110 all in one NDIS NT Driver (RTL8023) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtlnic51.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SMC IrCC Miniport Device Driver (SMCIRDA) - SMC - C:\WINDOWS\SYSTEM32\DRIVERS\smcirda.sys

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: tiumfwl - Texas Instruments Inc. - C:\WINDOWS\SYSTEM32\drivers\tiumfwl.sys

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: Toshiba Mobile PC Service (TVALD) - Toshiba Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NBSMI.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



39 Servicios.

13 de Carga Automatica.

23 de Carga Manual.

3 Deshabilitados.





No se descarga el Elitrip.



Espero nuevas instrucciones a seguir.

[lucl]

Pues creo que lo de la musiquita venia con el elistara si, yo lo he descargado y al darle a analizar ha dejado de sonar. Asi que veremos que nos dicen los admin. Con el elitriip dare aviso porque yo lo he descargado pero al ir a ejecutarlo me dice que esta caducado. En cuanto a lo tuyo envianos esto





Por favor, envienos una muestra del fichero

C:\Muestras\TUVUMGEW.DLL.Muestra EliStartPage v17.69

a "virus@satinfo.es". Gracias.





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y esto



C:\WINDOWS\system32\tuvUMgEw.dll



C:\WINDOWS\system32\qoMfcdBu.dll



C:\WINDOWS\system32\khfFYOeb.dll



Espera que Msc lo confirme y ve buscandolas mientras a ver si las encuentras , a ver que te dice Msc sobre ellas saludos

[viguerbo]

Dejo el resultado del Karpersky.



--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Sunday, December 28, 2008

Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Saturday, December 27, 2008 17:31:12

Records in database: 1521283

--------------------------------------------------------------------------------



Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes



Scan area - My Computer:

C:\

D:\



Scan statistics:

Files scanned: 68485

Threat name: 5

Infected objects: 62

Suspicious objects: 0

Duration of the scan: 02:20:34





File name / Threat name / Threats count

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0033649.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0033662.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0033757.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0033801.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0033819.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0033823.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0033837.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0033854.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0033868.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0033920.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0033926.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0033940.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0034008.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0034050.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0034061.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0035099.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0035123.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0035140.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0035221.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0035239.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0035252.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0035272.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0035295.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0035341.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0035392.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0035405.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0035408.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0035409.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0035411.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0036407.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0036423.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0036439.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0036455.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0036473.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0037473.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0037490.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0037504.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0038505.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0038523.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0038539.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0038556.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0038569.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0038609.exe.vir Infected: Trojan-Downloader.Win32.IstBar.xl 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0038648.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0038668.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0038820.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0038836.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0038852.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0038864.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0038878.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0038892.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0039906.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0040920.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0040921.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0040922.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0040923.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0040935.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0041019.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0062071.EXE.vir Infected: Backdoor.Win32.NewRest.n 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0062072.exe.vir Infected: Trojan.Win32.Obfuscated.gen 1

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0062073.exe.vir Infected: Trojan-Downloader.Win32.IstBar.xq 1

C:\Documents and Settings\Victor Guerra\Configuración local\Archivos temporales de Internet\Content.IE5\Z3DG61CT\ELISTARA.%D8D%D8AB%D8%D8I[2].EXE Infected: Trojan-Downloader.Win32.IstBar.ggc 1



The selected area was scanned.

[msc hotline sat]

Y aparte de los indicados por lucl, nvianos tambien estos ficheros sospechosos, para analizar:



C:\WINDOWS\system32\sscboq.dll



C:\WINDOWS\system32\qoMfcdBu.dll



E:\Archivos de programa\LaunchList2.exe



C:\WINDOWS\sysguard.exe



y de los que indica lucl, este posiblemente ya no lo encuentres:



O2 - BHO: (no name) - {DDAC207F-783B-4136-9564-A22EB885BFEC} - C:\WINDOWS\system32\khfFYOeb.dll (file missing)



por lo que podrias eliminar dicha clave que lo lanza.



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y como que usas el AVAST, arranca en modo seguro y elimina todos los que ha moviudo a esta carpeta:



C:\Archivos de programa\Alwil Software\Avast4\DATA\moved



aunque haya el ELISTARA, conocido fallo del AVAST, pero nuestra utilidad ya lo descargaras de nuevo cuando lo necesites, desactivando el AVAST, claro.





Tras recibir las muestras indicadas por lucl y por mi, las analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 28-12-2008

[msc hotline sat]

Y cuestionado en privado por lucl sobre lo que indicas mas arriba de:



[b][i]"Una pregunta: Al descargar el elistara, se me ha quedado una musiquita de navidad formato caja de musica.

¿Es vuestra o se ha colado con el Bicho?"[/i][/b]



cabe decir que no es del ELISTARA, debe haber bajado on el eMule que usas... y es que tienes unos cuantos sospechosos que cualquier puede ser el causante...



Cuando nos hayas enviado las muestras veremos si es el caso, de momento puedes añador la extension .VIR a todos los ficheros indicados, para que, tras reiniciar, ya no se pongan en marcha, y ver si asi se elimina la musiquita, aunque no parezca ser grave...



Comentanos si con ello se soluciona, gracias.



saludos



ms, 28-12-2008

[viguerbo]

Buenos dias.

De nuevo daros las gracias por vuestro interés en mi problema.

Os he enviado todos los ficheros que me habeís solicitado, excepto el E:\Archivos de programa\LaunchList2.exe

Este archivo no lo encuentro ya que el disco externo que tengo, tiene la extensión "F". Como hasta hace 2 meses ese disco,

el PC lo reconocia como "E". Os mando el fichero F:\Archivos de programa\LaunhList2.exe, por si os vale.

Con respecto al fichero C:\WINDOWS\system32\khfFYOeb.dll (file missing). Lo renombré ayer .vir , y también os lo he mandado.

Lo que no se encontrar es el fichero O2 - BHO: (no name) - {DDAC207F-783B-4136-9564-A22EB885BFEC}

La musiquita, desapareció de momento, al encender el PC de nuevo.

Y tengo una pregunta más, debido a mi corto nivel de informatica:

Es con respecto a el tema de eliminar claves.

En el siguiente comentario:

[b]Para eliminar las claves que se indiquen, arrancar en modo seguro, lanzar el HJT y escoger la segunda opcion (DO A SYSTEM SCAN ONLY), marcar la casilla de la izquierda de las claves a eliminar y pulsar FIX CHECKED



Es importante que el HJT esté en una carpeta del disco duro, no en temporal, para que guarde un UNDO con el que poder deshacer lo hecho en caso de interés[/b]

No sé que es el HTJ, ni que és un UNDO.

Quedo de nuevo a vuestra disposición para lo que tengaís a bien indicarme.

Un saludo. Victor Guerra.

[msc hotline sat]

Sí, el HJT es abreviacion del HiJackThis :



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



Escoje la opcion 2, marca las claves que desea eliminar y puls en FIX CHECKED



saludos



ms, 28-12-2008







NOTA: y lo del UNDO es para deshacer los cambios, pero aqui no hará falta. ms.

[msc hotline sat]

Y lo de que no puedes encontrar el fichero khfFYOeb.dll , es logico si [b][i] "khfFYOeb.dll (file missing). Lo renombré ayer .vir "[/i][/b]



Mañana, cuando volvamos al trabajo en SATINFO, analizaremos las muestras enviadas e implementaremos su control y eliminacion en nuestras utilidades,. de lo cual informaremos



saludos



ms, 28-12-2008

[viguerbo]

Hola de nuevo.

Pués he realizado las siguientes operaciones.

* He renombrado a "Vir" los siguientes archivos: C/Windows/system32/goMfcdBU.dll

/KhfFYOeb.dll

/sscboq.dll



* He pasado el HJT por los archivos: C/windows/sysguadr.exe y el C/windows/system32/tugEw.dll

Este ultimo archivo no me dejaba renombrarlo ni en modo seguro.



Desde que he realizado estos procesos, en base a la idea que tan amable y rapidamente me habeis facilitado.

Yá he podido activar las actualizaciones automaticas y no me sale el mensaje "de infectado" en la barra de tareas.

Como tampoco sale el explorer con la pagina de un antivirus.



Como lo mismo hay algo más que hacer que vosotros sabeís. Sigo quedando a vuestra disposición.



Os deseo un buen año 2009. Y quedo agradecidísimo con vosotros.



Un fuerte abrazo. Victor Guerra Borrás.

[msc hotline sat]

De momento sigue así, y cuando mañana analicemos los ficheros que nos has enviado, implementaremos su control, eliminacion y restauracion de claves modificadas en la proxima versione de nuestras utilidades, de lo cual informaremos



saludos



ms, 29-12-2008









y FELIZ AÑO NUEVO tambien para tí y los tuyos. ms. [img]http://www.satinfo.es/zonavirus/dibuxan.gif[/img]

[msc hotline sat]

Recibidas sus muestras , en analisis previo vemos que se trata de variantes de VUNDO, que una vez momnitorizadas pasaremos a controlar con el ELISTARA , que intentaremos sea la de hoy mismo, aunque hay muchas muestras delante llegadas estos dias festivos...



De todas maneras ya está en cola de procesos, e informaremos cuando subamos la version que los controle (hoy o mañana)



saludos



ms, 29-12-2008