your computer is infected"me aparece en barra(CERRADO)

borja · Mensaje por **borja** » 19 Nov 2005, 02:07

Me aparece un globo y si pinchas, te lleva a una pagina de spy axe o algo asi, he pasado todos los antispy, y nada, he arrancado a modo seguro los he pasado y ahi sigue os pongo mi log a ver si veis algo raro, gracias por anticipado:

gfile of HijackThis v1.99.1

Scan saved at 2:05:25, on 19/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\mssearchnet.exe

C:\WINDOWS\soundman.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\FlashGet\flashget.exe

C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SoundMan] soundman.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Borja\Configuración local\Archivos temporales de Internet\Content.IE5\G3XNIYZ1\EliStarA[1].exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {20C2C286-BDE8-441B-B73D-AFA22D914DA5} (PowerList Control) - http://www.ppstream.com/bin/powerplayer.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6660DF2B-D314-42FF-B07F-A672B1633A09}: NameServer = 62.36.225.150 62.37.228.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{6660DF2B-D314-42FF-B07F-A672B1633A09}: NameServer = 62.36.225.150 62.37.228.20

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

Mensaje por **msc hotline sat** » 19 Nov 2005, 07:52

En este mismo apartado le indiocamos:

https://foros.zonavirus.com/viewtopic.php?t=5148

Lance especialnente el ELISTARA, arrancando en modo seguro

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

y nos informa del resultado como respuesta de este Tema, gracias

saludos

ms, 19-11-2005

borja · Mensaje por **borja** » 19 Nov 2005, 11:51

HE arrancado en modo seguro, y he lanzado todo, el spybot el elistara , el adware y he pasado el antivirus, y ahi sigue el problema le dejo mi log por si pudiera ayudarme , gracias:

Logfile of HijackThis v1.99.1

Scan saved at 11:49:31, on 19/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\mssearchnet.exe

C:\WINDOWS\soundman.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\FlashGet\flashget.exe

C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [SoundMan] soundman.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {20C2C286-BDE8-441B-B73D-AFA22D914DA5} (PowerList Control) - http://www.ppstream.com/bin/powerplayer.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6660DF2B-D314-42FF-B07F-A672B1633A09}: NameServer = 62.36.225.150 62.37.228.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{6660DF2B-D314-42FF-B07F-A672B1633A09}: NameServer = 62.36.225.150 62.37.228.20

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Mensaje por **msc hotline sat** » 19 Nov 2005, 11:58

Elimine de entrada esta clave:

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

y mientras analizo a fondo su log, posteenos el contenido del fichero C:\infosat.txt que ha generado el ELISTARA, pues en él puede estar la clave, gracias

Ya sabe,. abralo con el bloc de notas, y seleccionelo todo y copiar y pegar en su proximo post de respuesta a este Tema.

Mientras examino s fondo su log

saludos

ms, 19-11-2005

Mensaje por **msc hotline sat** » 19 Nov 2005, 12:12

Este fichero que tiene en uso:

C:\WINDOWS\system32\mssearchnet.exe

debería haber sido controlado por el actual ELISTARA 10.62 que subí ayer noche a esta web.

Puede que no use esta última version, o que se trate de una variante...

Si no ha usado la 10.62, descarguela y pruebela, u si ya lo ha hecho, piede tratarse de otra variante descontrolada, en cuyo caso le pedimos que nos lo diga y le indicaremos como enviarnosla, abriendo una referencia poara su analisis y posterior control y eliminacion en nuestras utilidades, en este caso en el ELISTARA.

Caso que no lo detecte el ELISTARA, arranquie en modo seguro con solo simbolo de sistema )tercera opcion de modo seguro), vaya a dicha carpeta donde dice el HJT que se carga el fichero, con

CD \windows\system32 <enter>

y vea si lo tiene allí y con qué atributos con:

ATTRIB mssearchnet.exe

Y si tiene alguno, eliminelo con ATTRIB -H -S (o los que tenga) mssearchnet.exe <enter>

y luego MOVE mssearchnet.exe C:\ <enter>

y así lo habrá movido al directorio raiz y ya no se cargarña en el proximo arranque.

Tras ello, reinicie y vea si persiste el problema, y ya podrña acceder a dicho fichero normalmente y enviarnoslo si procede

Y voy a ver si ya ha pegado el informe solicitado...

saludos

ms, 19-11-2005

Mensaje por **msc hotline sat** » 19 Nov 2005, 12:14

Pues no, no lo ha posteado todavía.

Quedamos a la espera de ello, gracias

saludos

ms, 19-11-2005

borja · Mensaje por **borja** » 19 Nov 2005, 14:35

he arrancado a modo seguro he lanzado el elistara 10.62 y lo he lanzado a modo seguro, me dice que ha eliminado un troyano el puper, lanzo el hijack this y elimino la bho esa que me comentas , reinicio y sigue infectado el pc, ya no se que hacer,gracias por tu atencion te posteo el infosat y el de hijack:

Wed Nov 02 00:17:16 2005

EliStartPage v10.52 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL --> Eliminado FlashGet (TB)

C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL --> FlashGet (BHO) Renombrado a .VIR

Eliminada Class, "{A5366673-E8CA-11D3-9CD9-0090271D075B}"

Eliminada Class, "{E0E899AB-F487-11D5-8D29-0050BA6940E3}"

Eliminada Class, "{FB5DA722-162B-11D3-8B9B-AA70B4B0B524}"

Eliminada Class, "{FB5DA724-162B-11D3-8B9B-AA70B4B0B524}"

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Nov 02 00:19:24 2005

EliStartPage v10.52 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Nov 02 00:20:28 2005

EliStartPage v10.52 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 02:00:24 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\BORJA\CONFIG~1\TEMP\NVCTRL.EXE.Muestra EliStartPage v10.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVCTRL.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\MSVOL.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

Eliminada Class, "{7CAF96A2-C556-460A-988E-76FC7895D284}"

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 02:18:13 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 11:04:05 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 11:09:21 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\GTOOLBAR\GOOGLETOOLBAR.DLL --> Eliminado, SBSoft o ToolBand

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\DUMMIES\DUMMY.CD_CLINT.DLL --> Eliminado, CyDoor

C:\SYSTEM VOLUME INFORMATION\_RESTORE{7C1E1258-FDB2-48BE-A44D-BF9D848B451D}\RP1\A0001011.DLL --> Eliminado, SBSoft o ToolBand

C:\SYSTEM VOLUME INFORMATION\_RESTORE{7C1E1258-FDB2-48BE-A44D-BF9D848B451D}\RP1\A0001012.DLL --> Eliminado, CyDoor

C:\DOWNLOADS\BACKUPS\BACKUP-20051119-015311-632.DLL --> Eliminado, Puper (BHO)

Sat Nov 19 11:15:12 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\SYSTEM VOLUME INFORMATION\_RESTORE{7C1E1258-FDB2-48BE-A44D-BF9D848B451D}\RP1\A0001013.DLL --> Eliminado, Puper (BHO)

Sat Nov 19 11:23:38 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 11:35:02 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 13:36:36 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 13:38:35 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 13:58:15 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 14:04:59 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 14:18:27 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

AHI VA EL DE HIJACK THIS

Logfile of HijackThis v1.99.1

Scan saved at 14:23:00, on 19/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\FlashGet\flashget.exe

C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [SoundMan] soundman.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {20C2C286-BDE8-441B-B73D-AFA22D914DA5} (PowerList Control) - http://www.ppstream.com/bin/powerplayer.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

[size=150]MUCHISIMAS GRACIAS POR TODO[/size]

Mensaje por **msc hotline sat** » 19 Nov 2005, 21:01

Pues envienos la muestra que le solicita el ELISTARA !!!

[quote]
Por favor, envienos una muestra del fichero

C:\DOCUME~1\BORJA\CONFIG~1\TEMP\NVCTRL.EXE.Muestra EliStartPage v10.62

a "virus@satinfo.es". Gracias
[/quote]

y veamos el HJT

De entrada, elimine esta clave:

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

y esta es sospechosa, si no la conoce eliminela tambien:

O16 - DPF: {20C2C286-BDE8-441B-B73D-AFA22D914DA5} (PowerList Control) - http://www.ppstream.com/bin/powerplayer.cab

Y con ello el HJT queda limpio

Recuerde que el fichero, al estar en el directorio temporal, al reiniciar ya no estará en uso, por lo que tras ecamonarlo potenciaremos ña utilidad que podrá utilizar para eliminar restos, pero en principio ya está en cuarentena.

saludos

ms, 19-11-2005

borja · Mensaje por **borja** » 20 Nov 2005, 00:32

soy un poco negado para esto, que quiere decir enviar la [size=150][color=blue]muestra[/color][/size] de ese fichero, no entiendo lo que hay que hacer, cuando puedas me respondes , como si le hablases a un niño pequeño, muchas gracias por tu paciencia. :roll:

Mensaje por **msc hotline sat** » 20 Nov 2005, 08:40

Si hombre, si sabes enviar un mail, es ir a la ruta indicada y anexarle le fichero indicado:

[quote]
Por favor, envienos una muestra del fichero

C:\DOCUME~1\BORJA\CONFIG~1\TEMP\NVCTRL.EXE.Muestra EliStartPage v10.62

a "virus@satinfo.es". Gracias
[/quote]

Si has enviado alguna vez una foto a alguien, pues lo mismo pero en lugar de la foto nos envias el bicho.

saludos

ms, 20-11-2005

borja · Mensaje por **borja** » 20 Nov 2005, 11:53

Si hombre hasta ahi llego, pero es que me habia despistado eso de MUESTRA, ya os lo he enviado, gracias y saludos.Estoy a la espera de vuestra contestación.

Mensaje por **msc hotline sat** » 20 Nov 2005, 12:13

Vale, perdona, pero todos tenemos que aprender, nadie nace enseñado, u tal como lo pedías, podía ser que no lo hubieras hecho nunca...

Bueno, pues mañana la pasarán en SATINFO a I+D y posiblemente la 10.63 de mañana ya lo controle y elimine .

De todas formas, al reiniciar ya no se habrá cargado este fichero porque se ca,mbio de directorio, y posiblemente ya no lo tengas incordiando...

saludos

ms, 20-11-2005

borja · Mensaje por **borja** » 20 Nov 2005, 13:56

gracias por tu atencion, ahi sigue el maldito spyaxe dando la lata, en fin espero vuestras noticias, un saludo.

Mensaje por **msc hotline sat** » 21 Nov 2005, 06:18

No recordaba que este lo hubieras mencionado antes, pero bueno, es mas de lo mismo, con el ELISTARA 10.63 espero qie lo soluciones, pero arranca para ello enla tercera opcion qie te ofrece el menú de inicio para el modo seguro: MODO SEGURO CON SOLO SIMBOLO DE SISTEMA y para mayor comodidad el ELISTARA.EXE lo copias al directorio raiz, y asi lo podrás ejecutar desde C:\ entrando simplemente ELISTARA <enter>

y nos cuentas el resultado, gracias

saludos

ms, 21-11-2005

NOTA: Procuraeré avisarte, como respuesta de este Tema, cuando subamos 10.63 a esta web

borja · Mensaje por **borja** » 21 Nov 2005, 10:14

Lo malo es que no tengo ni idea de ms dos , eso de copiarlo al directorio raiz me suena a chino, lo de arrancarlo en ese modo si , pero de lo otro nada. UN saludo :cry:

Mensaje por **msc hotline sat** » 21 Nov 2005, 11:33

Cuando te lo bajas, lo copias en C:\ que es el directorio principal o directorio raiz , y asi no tienes que ir a buscar la utilidad para ejecutarla.

Sino, tendrias que ir con CD... (Change directory) al directorio donde lo hayas descargado...

Cabe decirte que ya están monitorizando el fichero que has enviado, el cual es un StartPage de la familia de los PUPER, una variante de los que ya conociamos, pero igualmente ya lo moviuamos a carpeta temporal, de manera que en el siguiente reinicio ya no entraba en marcha.

Se incluirá si control y eliminacion en la proxima version 10.63 del ELISTARA.EXE que ya estamos haciendo, junto con otras 6 variantes qie añadoremos a esta utilidad, de entre las muestras recibidas este fin de semana.

En cuanto esté terminada y la subamos a esta web para pruebas de evaluacion, se lo comentarñe.

saludos

ms, 21.11.2005

Mensaje por **msc hotline sat** » 21 Nov 2005, 18:40

Subida a esta web la version 10.63 del ELISTARA itegrando todas las muestras recibidas:

---v10.63-(21 de Noviembre del 2005) (Muestras de SmitFraud "OLEEXT.DLL", SpySheriff, (2)AltNet "ADM4.DLL" y "ADM25.DLL", DownLoader "MSUPDATE32.DLL", NewDotNet, BlackStone "StopZillaBH0.dll", Puper(dr) "NVCTRL.EXE" y nuevos DNSs sospechosos)

Además se controla los cambios de DNS impolementados por las 4 variantes de este virus segun Symantec.

Utilicelo en la forma indicada e informenos del resultadio, gracias

saludos

ms, 21-11-2005

borja · Mensaje por **borja** » 22 Nov 2005, 00:09

he hecho lo que me comentaste, y nada, todo sigue igual, el icono ese asqueroso abajo. En fin Gracias.

Mensaje por **msc hotline sat** » 22 Nov 2005, 08:34

Si lo hiciste en modo seguro con solo simbolo de sistema, lanza ahora el HJT y peganos un log actualm a ver que es lo que queda o si ya no hay nada malware es que no lo muestra el HJT, y hemos de buscar en otra parte del registro !

Pero es muy importante que lanzaras el ELISTARA en el modo indicado.

saludos

ms, 22-11-2005

borja · Mensaje por **borja** » 22 Nov 2005, 10:18

Lo lanzé en dos ocasiones en el modo indicado y ahi sigue el fastidio, os dejo el log del hjt:saludos

Logfile of HijackThis v1.99.1

Scan saved at 10:18:03, on 22/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\mssearchnet.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\soundman.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\FlashGet\flashget.exe

C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [SoundMan] soundman.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {20C2C286-BDE8-441B-B73D-AFA22D914DA5} (PowerList Control) - http://www.ppstream.com/bin/powerplayer.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6660DF2B-D314-42FF-B07F-A672B1633A09}: NameServer = 62.36.225.150 62.37.228.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{6660DF2B-D314-42FF-B07F-A672B1633A09}: NameServer = 62.36.225.150 62.37.228.20

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Mensaje por **maura63** » 22 Nov 2005, 10:27

Desactvastes antes de nada la restauracion del sistema y eliminastes en modo seguro???

C:\WINDOWS\system32\mssearchnet.exe

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

Saludos

maura63

Mensaje por **msc hotline sat** » 22 Nov 2005, 10:43

Lo que indica Maura63 debes eliminar la clave:

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

y como que todavía tienes en uso el:

C:\WINDOWS\system32\mssearchnet.exe

es cuestion de eliminarlo del registro de sistema pero de una clave de POLICIES no mostrada por el HJT

Podrías ver su carga con nuestra utilidad en desarrollo SPROCES.EXE:

http://www.zonavirus.com/descargas/sproces.asp

Pero con el ELISTARA 10.63 ya se elimina la clave y el fichero.

Lanzalo y si tras reiniciar persiste, nos copias el log del C:\infosat.txt como respuesta de este Tema.

borja · Mensaje por **borja** » 22 Nov 2005, 11:25

he lanzado el hjt en modo seguro en la tercera opcion, y desactivando lo de restauracion sistema, el puñetero problema es el C:\WINDOWS\system32\mssearchnet.exe, lanzo de nuevo el elistara y os pongo el infosat.

borja · Mensaje por **borja** » 22 Nov 2005, 12:00

ahi va el infosat, :roll: el icono asqueroso sigue ahi abajo.

Wed Nov 02 00:17:16 2005

EliStartPage v10.52 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL --> Eliminado FlashGet (TB)

C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL --> FlashGet (BHO) Renombrado a .VIR

Eliminada Class, "{A5366673-E8CA-11D3-9CD9-0090271D075B}"

Eliminada Class, "{E0E899AB-F487-11D5-8D29-0050BA6940E3}"

Eliminada Class, "{FB5DA722-162B-11D3-8B9B-AA70B4B0B524}"

Eliminada Class, "{FB5DA724-162B-11D3-8B9B-AA70B4B0B524}"

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Nov 02 00:19:24 2005

EliStartPage v10.52 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Nov 02 00:20:28 2005

EliStartPage v10.52 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 02:00:24 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\BORJA\CONFIG~1\TEMP\NVCTRL.EXE.Muestra EliStartPage v10.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVCTRL.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\MSVOL.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

Eliminada Class, "{7CAF96A2-C556-460A-988E-76FC7895D284}"

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 02:18:13 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 11:04:05 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 11:09:21 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\GTOOLBAR\GOOGLETOOLBAR.DLL --> Eliminado, SBSoft o ToolBand

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\DUMMIES\DUMMY.CD_CLINT.DLL --> Eliminado, CyDoor

C:\SYSTEM VOLUME INFORMATION\_RESTORE{7C1E1258-FDB2-48BE-A44D-BF9D848B451D}\RP1\A0001011.DLL --> Eliminado, SBSoft o ToolBand

C:\SYSTEM VOLUME INFORMATION\_RESTORE{7C1E1258-FDB2-48BE-A44D-BF9D848B451D}\RP1\A0001012.DLL --> Eliminado, CyDoor

C:\DOWNLOADS\BACKUPS\BACKUP-20051119-015311-632.DLL --> Eliminado, Puper (BHO)

Sat Nov 19 11:15:12 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\SYSTEM VOLUME INFORMATION\_RESTORE{7C1E1258-FDB2-48BE-A44D-BF9D848B451D}\RP1\A0001013.DLL --> Eliminado, Puper (BHO)

Sat Nov 19 11:23:38 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 11:35:02 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 13:36:36 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 13:38:35 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 13:58:15 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 14:04:59 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 14:18:27 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 14:58:11 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 15:02:25 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Nov 20 00:26:46 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Nov 20 01:05:39 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Nov 21 23:42:07 2005

EliStartPage v10.63 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Nov 21 23:44:46 2005

EliStartPage v10.63 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\DOCUMENTS AND SETTINGS\BORJA\CONFIGURACIóN LOCAL\TEMP\NVCTRL.EXE.MUESTRA ELISTARTPAGE V10.62 --> Eliminado, Puper (dropper)

C:\DOCUMENTS AND SETTINGS\BORJA\CONFIGURACIóN LOCAL\TEMP\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\CJOJYTCR\FEDERUGBY[1].HTM --> Eliminado, StartPage-DU (Pag.Ini)

Mon Nov 21 23:56:38 2005

EliStartPage v10.63 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Nov 22 11:43:15 2005

EliStartPage v10.63 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Nov 22 11:55:15 2005

EliStartPage v10.63 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mensaje por **msc hotline sat** » 22 Nov 2005, 12:40

Bueno, pues se trata de otra variante del Puper que se nos va generando por ejecucion del mssearchnet, desde una clave no visible con el HJT, como ya indicaba en mi post anterior.

Envienos una muestra de este C:\windows\system32\mssearchnet.exe a zonavirus@satinfo.es anexada a un mail en cuyo texto nos indique como referencia REF BORJA3 y lo incluiremos en el control de una nueva version del ELISTARA

Este es mas peludo al no verse la clave con el HJT, veala con el SPROCES que indicaba en mi post anterior.

No se preocupe, que cuando tengamos la muestra, eliminaremos la clave y el fichero por cadenas, en la peoxima version.,

Ademas visto que tenemos ya otras variantes de este mssearchnet, a partir de dicha version se pedira muestra de las variantes que se detecten en dicha carpeta de sistema y que no conozcamos su cadena de deteccion.

saludos

ms, 22-11-2005

borja · Mensaje por **borja** » 22 Nov 2005, 12:46

os lo acabo de enviar, saludos.

Mensaje por **msc hotline sat** » 22 Nov 2005, 13:48

Recibida la muestra. Entra en proceso de I+D

saludos

ms, 22-11-2005

Mensaje por **msc hotline sat** » 22 Nov 2005, 16:56

Subida a la web la version 10.64 para pruebas evaluacion:

https://foros.zonavirus.com/viewtopic.php?p=44880#44880

Tras descargarla, arranca mejor ne modo seguro con solo simbolo de sistema y la ejecutas, y nos cuenstas el resultado, gracias

saludos

ms, 22-11-2005

borja · Mensaje por **borja** » 22 Nov 2005, 18:01

nada ahi sigue el puñetero icono y cuando le apetece se carga el solito el spy axe, he pasado la 10.64 y todo sigue igual , estoy por rendirme, os dejo el infosat por si os sirve, gracias de todas formas:

Wed Nov 02 00:17:16 2005

EliStartPage v10.52 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL --> Eliminado FlashGet (TB)

C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL --> FlashGet (BHO) Renombrado a .VIR

Eliminada Class, "{A5366673-E8CA-11D3-9CD9-0090271D075B}"

Eliminada Class, "{E0E899AB-F487-11D5-8D29-0050BA6940E3}"

Eliminada Class, "{FB5DA722-162B-11D3-8B9B-AA70B4B0B524}"

Eliminada Class, "{FB5DA724-162B-11D3-8B9B-AA70B4B0B524}"

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Nov 02 00:19:24 2005

EliStartPage v10.52 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Nov 02 00:20:28 2005

EliStartPage v10.52 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 02:00:24 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\BORJA\CONFIG~1\TEMP\NVCTRL.EXE.Muestra EliStartPage v10.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVCTRL.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\MSVOL.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

Eliminada Class, "{7CAF96A2-C556-460A-988E-76FC7895D284}"

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 02:18:13 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 11:04:05 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 11:09:21 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\GTOOLBAR\GOOGLETOOLBAR.DLL --> Eliminado, SBSoft o ToolBand

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\DUMMIES\DUMMY.CD_CLINT.DLL --> Eliminado, CyDoor

C:\SYSTEM VOLUME INFORMATION\_RESTORE{7C1E1258-FDB2-48BE-A44D-BF9D848B451D}\RP1\A0001011.DLL --> Eliminado, SBSoft o ToolBand

C:\SYSTEM VOLUME INFORMATION\_RESTORE{7C1E1258-FDB2-48BE-A44D-BF9D848B451D}\RP1\A0001012.DLL --> Eliminado, CyDoor

C:\DOWNLOADS\BACKUPS\BACKUP-20051119-015311-632.DLL --> Eliminado, Puper (BHO)

Sat Nov 19 11:15:12 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\SYSTEM VOLUME INFORMATION\_RESTORE{7C1E1258-FDB2-48BE-A44D-BF9D848B451D}\RP1\A0001013.DLL --> Eliminado, Puper (BHO)

Sat Nov 19 11:23:38 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 11:35:02 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 13:36:36 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 13:38:35 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 13:58:15 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 14:04:59 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 14:18:27 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 14:58:11 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 19 15:02:25 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Nov 20 00:26:46 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Nov 20 01:05:39 2005

EliStartPage v10.62 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Nov 21 23:42:07 2005

EliStartPage v10.63 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Nov 21 23:44:46 2005

EliStartPage v10.63 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\DOCUMENTS AND SETTINGS\BORJA\CONFIGURACIóN LOCAL\TEMP\NVCTRL.EXE.MUESTRA ELISTARTPAGE V10.62 --> Eliminado, Puper (dropper)

C:\DOCUMENTS AND SETTINGS\BORJA\CONFIGURACIóN LOCAL\TEMP\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\CJOJYTCR\FEDERUGBY[1].HTM --> Eliminado, StartPage-DU (Pag.Ini)

Mon Nov 21 23:56:38 2005

EliStartPage v10.63 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Nov 22 11:43:15 2005

EliStartPage v10.63 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Nov 22 11:55:15 2005

EliStartPage v10.63 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Nov 22 17:49:08 2005

EliStartPage v10.64 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\MSSEARCHNET.EXE --> Eliminado Puper (dldr)

Eliminada Carpeta "%WinSys%\AdCache"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

borja · Mensaje por **borja** » 22 Nov 2005, 18:09

ahi os muestro una captura de la pantalla con el simpatico icono, su p.m:

[img]http://img423.imageshack.us/img423/7015/spyaxe2va.jpg[/img]