foto_celular es como es el AVE FENIX (SOLUCIONADO)

angela · Mensaje por **angela** » 01 Jun 2007, 22:03

Hola.. definitivamente el foto_celular es como es el AVE FENIX, necesito encontrar las cenizas para tirarlas de una vez.... he entrado en cada foro al respecto e intentado muchas cosas, no soy muy buena con los tecnisismos del ordenador pero necesito solucionarlo sin formatear mi equipo.
he enviado las muestras q arroja el elistar pero necesito una respuesta ... lo acabo o acaba conmigo. Aun asi temo hacer tantas cosas q acabe afectando otras utilidades q no tengan nada q ver..

tengo el avast antivirus, he intentado con el SUPER antispyware, el Spybot S&D, el Spyware terminator, el ElistarA, el Elitriip... y todos encuentran algo diferente, pero nada.. para culminar mi tragedia pos dejo el informe q dio el elistarA

GRACIAS por la atención y ayuda q puedan darme

Fri Jun 01 19:01:59 2007
EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.11
 a "virus@satinfo.es".  Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado 
C:\FOTO_CELULAR.ZIP --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\ODDYSEE.EXE.Muestra EliStartPage v14.11
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado 
C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado 
Eliminado Servicio, "Oddysee"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Fri Jun 01 19:02:23 2007
EliStartPage v14.11  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Exploración Detenida por el Usuario.

	  Fri Jun 01 19:08:51 2007
EliStartPage v14.11  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Fri Jun 01 19:08:54 2007
EliStartPage v14.11  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Fri Jun 01 19:35:06 2007
EliStartPage v14.11  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Fri Jun 01 20:32:41 2007
EliStartPage v14.11  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.11
 a "virus@satinfo.es".  Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado 
C:\FOTO_CELULAR.ZIP --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\MSNWORM.EXE.Muestra EliStartPage v14.11
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\MSNWORM.EXE --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\ODDYSEE.EXE.Muestra EliStartPage v14.11
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado 
C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado 
Eliminado Servicio, "Oddysee"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Mensaje por **msc hotline sat** » 01 Jun 2007, 22:10

Se trata de una variante no controlada, pues ya ves que se te pide que envies muestra:

Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.11
C:\Muestras\MSNWORM.EXE.Muestra EliStartPage v14.11
C:\Muestras\ODDYSEE.EXE.Muestra EliStartPage v14.11

-> Para ello recordar: viewtopic.php?f=2&t=45334

saludos
ms, 1-06-2007

Mensaje por **msc hotline sat** » 01 Jun 2007, 22:23

El martes las analizaremos, pues el lunes es fiesta en Barcleona

Con el ELISTARA de entonces se controlará

De todas formas lo que indica de que ya habia enviado las muestras, el primer informe es de hoy a las 7 de la tarde, asi que no sé cuando las ha enviado antes ...

De todas formas si lo ha enviado como se indica, se analizaran como todas:

-> Para ello recordar: viewtopic.php?f=2&t=45334

Puede mientras renombrar dichos fichero a extension .VIR y tras reiniciar ya no se pondrán en uso

saludos
ms, 1-06-2007

angela · Mensaje por **angela** » 01 Jun 2007, 22:26

Vale, pos hasta el martes, feliz finde y un beso muy grande.. :D gracias por haberme respondido a esta hora, ya me das algo de esperanza-

Mensaje por **msc hotline sat** » 01 Jun 2007, 22:27

Pero haz lo de renombrarlos y asi espero que te dejaran en paz

e igualmente buen finde

ms.

angela · Mensaje por **angela** » 01 Jun 2007, 22:35

Q FUERTE!! los he renombrado y al reiniciar pos han aparecido otros nuevos.. ahora tengo un juego de 4 archivos de Foto_celular :?

Mensaje por **msc hotline sat** » 02 Jun 2007, 08:44

Pues envianoslos para analizar y controlar, aparte luego arranca en modo seguro y renombralos a .VIR y espero que tras reiniciar ya no prospere, si es que los has renombrado todos ...

Indicanos sus nombres, a ver si hay alguno nuevo, gracias

saludos

ms, 2-06-2007

angela · Mensaje por **angela** » 02 Jun 2007, 20:42

He hecho lo de renombrarlos incluso en modo seguro y de nuevo se reproducen.. acabo de enviarlos en otro mail

Mensaje por **msc hotline sat** » 02 Jun 2007, 20:45

ATENCION !!!

IMPORTANTE LEER ESTE TEMA:
viewtopic.php?f=12&t=18950

Y para buscar si hay algo mas que no conozcamos, prueba esta utilidad:

SPROCES (herramienta de investigación)
http://www.zonavirus.com/descargas/SPROCESSEXE.asp

Y posteanos el contenido del C:\SPROCLOG.TXT :

saludos

ms, 2-06-2007

angela · Mensaje por **angela** » 02 Jun 2007, 20:57

Encontre el svschost y lo elimine de la carpeta del sistema...
el resultado del Sproces lo posteo a continuacion..
Sat Jun 02 19:58:59 2007
SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2
Internet Explorer: (v7.0.5730.11) 0

Procesos Activos:

Código: Seleccionar todo

C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE
C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM32\LEXBCES.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\SYSTEM32\LEXPPS.EXE
C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERCINEMA\KERNEL\TV\CLCAPSVC.EXE
C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\CLML_NTSERVICE\CLMLSERVER.EXE
C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\CLML_NTSERVICE\CLMLSERVICE.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERCINEMA\KERNEL\TV\CLSCHED.EXE
C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\WINDOWS\SYSTEM32\ALG.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\878RMTMON.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_01\BIN\JUSCHED.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ARCHIV~1\NOKIA\NOKIAP~1\LAUNCH~1.EXE
C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERCINEMA\PCMSERVICE.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\ARCHIVOS DE PROGRAMA\LEXMARK X1100 SERIES\LXBKBMGR.EXE
C:\WINDOWS\CNYHKEY.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\PCSUITE\SERVICES\SERVICELAYER.EXE
C:\ARCHIVOS DE PROGRAMA\GIGABYTE\ET5\GUI.EXE
C:\ARCHIVOS DE PROGRAMA\LEXMARK X1100 SERIES\LXBKBMON.EXE
C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE
C:\ARCHIVOS DE PROGRAMA\ARES\ARES.EXE
C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE
C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE
C:\ARCHIVOS DE PROGRAMA\WINDOWS DESKTOP SEARCH\WINDOWSSEARCH.EXE
C:\ARCHIVOS DE PROGRAMA\WINDOWS DESKTOP SEARCH\WINDOWSSEARCHINDEXER.EXE
C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\USNSVC.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE TOOLBAR\MSN_SL.EXE
C:\DOCUMENTS AND SETTINGS\ANGELA.NOMBRE-7DD7CD89\ESCRITORIO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Archivos de programa\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKLM\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKLM\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKLM\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKLM\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart
O4 - HKLM\..\Run: [TV Card Remote Control Device Monitor] C:\WINDOWS\878RMTMon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [EasyTuneV] C:\Archivos de programa\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Startup: desktop.ini
O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk
O4 - Global Startup: desktop.ini
O4 - Global Startup: Microsoft Office.lnk
O4 - Global Startup: SimHID.lnk
O4 - Global Startup: VIA RAID TOOL.lnk
O8 - Extra context menu item: &MSN Search - res://C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1105\es-xl\msntb.dll/search.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {3E410F8E-7EDC-4E91-B7A8-BFA00E3803D2} (EROL v 4.0.15) - http://www.e-rol.com/cabs/EROLProj1.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://angelatrotamundos.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144247909234
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Plug-in 1.4.1_01) - http://java.sun.com/products/plugin/1.4/jinstall-14_01-windows-i586.cab
O16 - DPF: {CAFEEFAC-0014-0002-0011-ABCDEFFEDCBA} (Java Plug-in 1.4.2_11) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL
O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:
----------------------
ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} -  - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll
ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} -  - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: nVidia WDM Video Capture (universal) (nvcap) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvcap.sys
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: nVidia WDM A/V Crossbar (NVXBAR) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVxbar.sys
O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: MT352 USB DVB-T TV Box (352DVBT) - Computer & Entertainment, Inc. - C:\WINDOWS\SYSTEM32\Drivers\352DVBT.sys
O23 - Service: MT352 USB DVB-T TV Box Starter (352Load) - Computer & Entertainment, Inc. - C:\WINDOWS\SYSTEM32\Drivers\352Load.sys
O23 - Service: SpeedTouch USB ADSL PPP Networking Driver (NDISWAN) (alcan5wn) - THOMSON - C:\WINDOWS\SYSTEM32\DRIVERS\alcan5wn.sys
O23 - Service: SpeedTouch ADSL Modem ATM Transport (alcaudsl) - THOMSON - C:\WINDOWS\SYSTEM32\DRIVERS\alcaudsl.sys
O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ICatch (VI) PC Camera (CA561) - SP - C:\WINDOWS\SYSTEM32\Drivers\SPCA561.SYS
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: DSDrv4 - Unknown owner - C:\ARCHIV~1\K!TV\Plugins\S_Bt8x8\DSDrv4.sys (file missing)
O23 - Service: gdrv - Unknown owner - C:\WINDOWS\gdrv.sys
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MarkFun_NT - Windows (R) 2000 DDK provider - C:\Archivos de programa\Gigabyte\ET5\markfun.w32
O23 - Service: Nokia USB Generic - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdc.sys
O23 - Service: Nokia USB Modem - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdcm.sys
O23 - Service: Nokia USB Phone Parent - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcd.sys
O23 - Service: Nokia USB Port - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdcj.sys
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: OmniTV AVStream Audio Capture (OmTVAud) - YUAN High-Tech Development Co. Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\OmTVAud.sys
O23 - Service: OmniTV AVStream Audio Capture (OmTVAud) - YUAN High-Tech Development Co. Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\OmTVAud.sys
O23 - Service: OmniTV Video Capture (OmTVCap) - YUAN High-Tech Development Co. Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\OmTVCap.sys
O23 - Service: OmniTV BDA Tuner/Demod (OmTVDTun) - YUAN High-Tech Development Co. Ltd. - C:\WINDOWS\SYSTEM32\drivers\OmTVDTun.sys
O23 - Service: OmniTV Transport Stream Capture (OmTVTS) - YUAN High-Tech Development Co. Ltd. - C:\WINDOWS\SYSTEM32\drivers\OmTVTS.sys
O23 - Service: OmniTV Analog TV Tuner (OmTVTune) - YUAN High-Tech Development Co. Ltd. - C:\WINDOWS\SYSTEM32\drivers\OmTVTune.sys
O23 - Service: OmniTV AVStream TV Crossbar (OmTVxBar) - YUAN High-Tech Development Co. Ltd. - C:\WINDOWS\SYSTEM32\drivers\OmTVxBar.sys
O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Realtek RTL8139/810x/8169/8110 all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation                            - C:\WINDOWS\SYSTEM32\DRIVERS\Rtlnicxp.sys
O23 - Service: SASENUM - SuperAdBlocker, Inc. - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS
O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)
O23 - Service: Icatch(IV) Still Camera Device (USBCamera) - USB BULK - C:\WINDOWS\SYSTEM32\Drivers\Bulk533.sys
O23 - Service: WinDriver kernel module (WinDriver) - Jungo - C:\WINDOWS\SYSTEM32\Drivers\windrvr.sys

Listado de Servicios (Deshabilitados):
--------------------------------------
O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
O23 - Service: InCD File System (InCDFs) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys (file missing)

 47 Servicios.
 11 de Carga Automatica.
 34 de Carga Manual.
  2 Deshabilitados.

Mensaje por **msc hotline sat** » 02 Jun 2007, 21:07

Bueno, indicamos que si se tiene este fichero, nos lo envie para analizarlo y controlarlo:

Si se tiene problemas de deteccion /eliminacion de un foto_celular, mirar si se tiene los ficheros gusano indicados y en tal caso, enviarnoslos:

Para ello recordar: viewtopic.php?f=2&t=45334

Si lo ha eliminado sin enviarnoslo, no podremos ni seguir ayudandole al respecto ni a los demas...

Esperemos que nos lo haya enviado, como indicamos, o que se haya guardado copia y pueda hacerlo, sino ... flaco favor habría hecho a este foro...

saludos
ms, 2.06.2007

angela · Mensaje por **angela** » 02 Jun 2007, 21:22

lo he enviado...

Mensaje por **msc hotline sat** » 02 Jun 2007, 21:25

Pues menos mal !

De momento diganos si con ello se acabaron las anomalias, y tras analizarlo, controlaremos y eliminaremos al bicho asi como las claves que hubiera modificado, las restauraremos con la proxima version del ELISTARA

En el informe no hay claves que hagan referencia a él..., pero hay que ver las que haya modificado...

saludos

ms, 2-06-2007

angela · Mensaje por **angela** » 02 Jun 2007, 21:30

Todo sigue igual, al eliminarlo pos el foto_celular ya no se regenera en la misma carpeta, pero en el msn tiene la misma incidencia (zumbidos, e intento del envio).. al reiniciar vuelve a estar en la carpeta del sistema el svschost y la cadena otra vez completa...

MAGO OSCURO · Mensaje por **MAGO OSCURO** » 02 Jun 2007, 23:11

HOLA, aun amigo le entro el mismo archivo "foto celular" y logre eliminarlo exitosamente, recuerda que tiene que desactivar la restauracion del sistema, y desintalar el msn, luego eliminamos todas las capetas relacionadas con el msn( una pequeña busqueda con la palabra messenger)y ahi debemos pasa el regedit <interceptado>

_____________________________________

NO ACONSEJAR SEGUIR METODOS CON REGEDIT U OTRAS UTILIDADES MAS QUE LAS DE SATINFO, DISPONIBLES PARA EVALUACION UNICAMENTE EN ESTE FORO

_____________________________________

Mensaje por **msc hotline sat** » 03 Jun 2007, 02:15

Mira "Mago Oscuro", aqui tratamos de no hacer usar el Regedit para evitar desastres antes toqueteos involuntarios, y para ello hacemos utilidades que modifican el registro sin necesidad de intervencion manual, asi que mejor no aportes "soluciones" como las dadas aunque hayan sido con tu mejor intencion.

Este virus tiene muchas variantes y vamos controlandolas a medida que las vamos conociendo, para lo que se requiere utilizar el ELISTARA y enviarnos las muestras que se soliciten en el C:\infosat.txt y esta es la filosofia de este foro, no otros medios manuales que puedan usarse en otros que no disponen de nuestras utilidades.

Evita sugerir otros sistemas, gracias

saludos

ms, 3-06-2007

Mensaje por **msc hotline sat** » 03 Jun 2007, 09:45

Y mirad si encontrais lo siguiente:

Como que por aqui hay un rootkit que nos esconde procesos, claves y ficheros, arrancar en modo seguro y buscar este fichero STARTING.EXE ESTÉ DONDE ESTÉ, pues si está en DLLCACHE se reproduce de donde lo borremos...

Sobre todo renombrarlo a .VIR y ENVIARNOS MUESTRA !!!

Espero que si se hace junto con lo demas desaparezca el problema !!!

saludos

ms, 3-06-2007

MAGO OSCURO · Mensaje por **MAGO OSCURO** » 03 Jun 2007, 09:53

bueno, pero tenian que borrar todo T_T, ademas yo uso el RegSeeker cada semana en mis cuatro computadoras y pues nada pasa, de hecho quedan mejores que como estaban, pero bueno tengan encuenta que el elistrA no debe ser la unica opcion(ademas que lo aconsegan mucho en otros foros, pero bueno.

Mensaje por **msc hotline sat** » 03 Jun 2007, 09:55

Pues Mago Oscuro, en tu casa haz lo que quieras, pero en el foro usa lo que indicamos, y sin criticar otras utilidades, aqui usamos las nuestras.

Y "donde fueres, haz lo que vieres"

saludos

ms, 3-06-2007

NOTA: Este foro goza de privilegios especiales de estar patrocinado por SATINFO y disponer de las utilidades con su Copyright, que no pueden usarse en otra parte, a cambio de evaluarlas e informar del resultado posteando el contenido del C:\infosat.txt , y con ellas vamos controlando todas las incidencias que se nos presentan. ms.

Mensaje por **msc hotline sat** » 05 Jun 2007, 18:00

Recibidas muestras celular. Se implementan en el ELISTARA 14.12 de hoy que estará disponible a partir de las 20 h

saludos

ms, 5-06-2007

Mensaje por **msc hotline sat** » 05 Jun 2007, 19:49

La acabo de subir, ya puedes probarla

saludos

ms, 5-06-2007

angela · Mensaje por **angela** » 06 Jun 2007, 13:10

Aparentemente solucionado despues de pasar el nuevo ELISTARA...

mil y mil gracias, ya habia olvidado lo sencillo q era hablar por el msn.. adjunto el informe

Wed Jun 06 11:27:26 2007
EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
C:\FOTO_CELULAR.SCR --> Eliminado MalWare.Celular
C:\FOTO_CELULAR.ZIP --> Eliminado 
C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular
C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado 
C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).
Eliminado Servicio, "Oddysee"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Wed Jun 06 11:28:03 2007
EliStartPage v14.12  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Muestras\FOTO_CELULAR.SCR.MUESTRA ELISTARTPAGE V14.11 --> Eliminado, MalWare.Celular
C:\Muestras\MSNWORM.EXE.MUESTRA ELISTARTPAGE V14.11 --> Eliminado, MalWare.Celular
C:\Muestras\ODDYSEE.EXE.MUESTRA ELISTARTPAGE V14.11 --> Eliminado, MalWare.Celular
C:\WINDOWS\system32\dllcache\LSSAS.EXE --> Eliminado, MalWare.Celular

Mensaje por **msc hotline sat** » 06 Jun 2007, 13:16

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 6 de Junio de 2007

NOTA : y dice "mil gracias, ya habia olvidado lo sencillo q era hablar por el msn" Y YO AÑADO: y peligroso !!!

foto_celular es como es el AVE FENIX (SOLUCIONADO)

foto_celular es como es el AVE FENIX (SOLUCIONADO)

YO otra vez...

PERFECTO!!