-
yorkes
- Mensajes: 66
- Registrado: 14 Jun 2004, 19:18
Mensaje
por yorkes » 28 Ene 2005, 08:27
Mi antivirus me encontró los siguientes virus:
d:\archivos de programa\codec pack de elisoft\divx511\fsg_4104.exe infected: Application.Adware.Gator
d:\archivos de programa\codec pack de elisoft\divx511\ci_0 infected: Application.Adware.Gator
d:\archivos de programa\codec pack de elisoft\divx511\ci_1 infected: Application.Adware.Gator
d:\archivos de programa\codec pack de elisoft\divx511\ci_2 infected: Application.Adware.Gator
d:\archivos de programa\codec pack de elisoft\divx511\ci_3 infected: Application.Adware.Gator
d:\system volume information\_restore{ceacc880-d383-4868-90cd-be3d20ed8605}\rp5\a0000421.exe infected: Trojan.Downloader.IstBar.GA
d:\system volume information\_restore{ceacc880-d383-4868-90cd-be3d20ed8605}\rp12\a0004315.exe infected: Trojan.Downloader.IstBar.GA
d:\system volume information\_restore{ceacc880-d383-4868-90cd-be3d20ed8605}\rp12\a0004316.exe infected: Trojan.Downloader.IstBar.GG
d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016782.reg infected: Trojan.WinREG.LowZones.A
d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016783.exe infected: Application.ProcKill.Jk
d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016784.exe infected: Application.Dropper.Ncase.Salm
d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016785.exe infected: Application.Adware.Gator
d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016786.exe=>(Upx) infected: Adware.Ncase.D
d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016787.dll infected: Adware.1088
d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016788.dll infected: Adware.SideFind.A
d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016789.exe=>(Petite 2.2) infected: Adware.Opti.A
d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016790.exe infected: Adware.Ncase.D
d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016791.exe=>(Petite 2.2) infected: Adware.Opti.A
d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016792.exe=>(Upx) infected: Adware.WinAD
d:\system volume information\_restore{3488c1a3-d63f-4bcf-9281-2d6ad1f7fcb3}\rp57\a0016793.exe=>(Upx) infected: Adware.Winad.A
He pasado el spybot y el adware tal como me indicasteis y siguen apareciendo los mismos virus.
Por elllo ahora os pego el log del HijackThis haber si me indicais que debo borrar, tambien os agradecería me indicarais como puedo desinstalar el codec Pack Elisoft, ya q contien dos archivos q son virus:
Logfile of HijackThis v1.97.7
Scan saved at 8:21:50, on 28/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe
D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
D:\Archivos de programa\Softwin\BitDefender Professional Edition\vsserv.exe
D:\WINDOWS\Mixer.exe
D:\archiv~1\softwin\bitdef~1\bdmcon.exe
D:\Archivos de programa\Softwin\BitDefender Professional Edition\bdswitch.exe
D:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe
D:\Archivos de programa\SpywareGuard\sgmain.exe
D:\Archivos de programa\SpywareGuard\sgbhp.exe
D:\Archivos de programa\emulephoenix\eMule\emule.exe
D:\WINDOWS\System32\wbem\wmiapsrv.exe
D:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Archivos de programa\WinRAR\WinRAR.exe
D:\DOCUME~1\GONZAL~2\CONFIG~1\Temp\Rar$EX00.891\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [BDMCon] d:\archiv~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] d:\archiv~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] D:\Archivos de programa\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Archivos de programa\Real Alternative\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe
O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe
O4 - Startup: SpywareGuard.lnk = D:\Archivos de programa\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Instantánea de caché de la página - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FAB249D-F731-4AEF-A6C7-C68599345609}: NameServer = 80.58.0.33,80.58.32.97
-
maura63
- Mensajes: 6865
- Registrado: 09 Mar 2004, 20:42
- Ubicación: Cádiz, ESPAÑA
-
Contactar:
Mensaje
por maura63 » 28 Ene 2005, 09:15
Viene de este otro link que cerramos al derivar a hijackthis
https://foros.zonavirus.com/viewtopic.php?p=23382&highlight=#23382
Saludos
maura63
-
maura63
- Mensajes: 6865
- Registrado: 09 Mar 2004, 20:42
- Ubicación: Cádiz, ESPAÑA
-
Contactar:
Mensaje
por maura63 » 28 Ene 2005, 09:21
Antes de nada conviene que pases antivirus, spybot y ad_aware arrancando en modo seguro y desactivando antes la restauracion de sistema.
Has abierto un post en problemas de spyware que te conteste y este.
Una vez pases los programas mencionados antes, de tener problemas descarga la nueva version de hijackthis y nos pegas el nuevo log
· Hijackthis version: 1.99
Sitio 1 - Descargar Hijackthis
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Saludos
maura63
-
maura63
- Mensajes: 6865
- Registrado: 09 Mar 2004, 20:42
- Ubicación: Cádiz, ESPAÑA
-
Contactar:
Mensaje
por maura63 » 28 Ene 2005, 15:04
De momento lo que debes eliminar es estas tres entradas
O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe
O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe
O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe
Saludos
maura63
-
yorkes
- Mensajes: 66
- Registrado: 14 Jun 2004, 19:18
Mensaje
por yorkes » 28 Ene 2005, 15:05
He pasado antivirus, spybot y ad_aware arrancando en modo seguro y desactivando antes la restauracion de sistema.
El antivirus me da el siguiente informe de virus:
d:\archivos de programa\softwin\bitdefender professional edition\infected\a0004319.exe=>(Upx) infected: Adware.Ncase.D
d:\archivos de programa\softwin\bitdefender professional edition\infected\a0004320.dll infected: Adware.1088
d:\archivos de programa\softwin\bitdefender professional edition\infected\a0008629.dll infected: Adware.SideFind.A
d:\archivos de programa\softwin\bitdefender professional edition\infected\a0006905.reg infected: Trojan.WinREG.LowZones.A
d:\archivos de programa\softwin\bitdefender professional edition\infected\a0006906.exe=>(Petite 2.2) infected: Adware.Opti.A
d:\archivos de programa\softwin\bitdefender professional edition\infected\a0006907.exe infected: Application.ProcKill.Jk
d:\archivos de programa\softwin\bitdefender professional edition\infected\salm.exe infected: Adware.Ncase.D
d:\archivos de programa\softwin\bitdefender professional edition\infected\file0007.chk=>(FSG 2.0) infected: Trojan.Clicker.BA
d:\archivos de programa\softwin\bitdefender professional edition\infected\optimize.exe=>(Petite 2.2) infected: Adware.Opti.A
d:\archivos de programa\softwin\bitdefender professional edition\infected\winsched.exe=>(Upx) infected: Adware.WinAD
d:\archivos de programa\softwin\bitdefender professional edition\infected\wintaskad.exe=>(Upx) infected: Adware.Winad.A
Ahora he ejecutado la nueva versin de hijackthis y me da este log:
Logfile of HijackThis v1.99.0
Scan saved at 15:00:58, on 28/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe
D:\WINDOWS\Mixer.exe
D:\Archivos de programa\Softwin\BitDefender Professional Edition\bdswitch.exe
D:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe
D:\Archivos de programa\SpywareGuard\sgmain.exe
D:\Archivos de programa\SpywareGuard\sgbhp.exe
D:\Archivos de programa\emulephoenix\eMule\emule.exe
D:\WINDOWS\System32\wbem\wmiapsrv.exe
D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
D:\Archivos de programa\Softwin\BitDefender Professional Edition\vsserv.exe
d:\archiv~1\softwin\bitdef~1\bdmcon.exe
D:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Archivos de programa\WinRAR\WinRAR.exe
D:\DOCUME~1\GONZAL~2\CONFIG~1\Temp\Rar$EX00.844\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [BDMCon] d:\archiv~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] d:\archiv~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] D:\Archivos de programa\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Archivos de programa\Real Alternative\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe
O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe
O4 - Startup: SpywareGuard.lnk = D:\Archivos de programa\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Instantánea de caché de la página - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FAB249D-F731-4AEF-A6C7-C68599345609}: NameServer = 80.58.0.33,80.58.32.97
O23 - Service: BitDefender Scan Server - Unknown - D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - D:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - D:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - D:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - D:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug and Play - Unknown - D:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - D:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente - Unknown - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - D:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Instantáneas de volumen - Unknown - D:\WINDOWS\System32\vssvc.exe
O23 - Service: BitDefender Virus Shield - Unknown - D:\Archivos de programa\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - D:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: BitDefender Communicator - Softwin - D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe
Que tengo que borrar?
Que clase de virus son estos y como los elimino?
-
maura63
- Mensajes: 6865
- Registrado: 09 Mar 2004, 20:42
- Ubicación: Cádiz, ESPAÑA
-
Contactar:
Mensaje
por maura63 » 28 Ene 2005, 15:09
Me adelante, arranca en modo seguro y desactiva restaurar sistema.
Sin ningun programa abierto lanza hijackthis pulsa scan y marca las siguientes entradas
O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe
O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe
O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe
una vez marcadas pulsa fix y acepta. Arranca en modo normal y comprueba.
Saludos
maura63