VIRUS QL !!!!

[SadakO_666]

Holi....primera ves ke me meto a un foro....

wenop este es mi problema...

ayer estaba xatiando kon un amigo x msn

y me salio esta frase

"olha essa montagem de foto que fiz..."



luego salio esta direccion

http://www<interceptado>/DSC01330.JPG



yo la tonta lo abri pensando ke era algo ke me mandaba mi amigo

salia en formato de protector de pantalla,

pero kuando lo abri decia que habia un error

y le pregunte a el que que me habia mandado?



el dijo ke nada, entonces revise el historial de

conversacion del msn

y enkontre ke el me habia mandado el virus, pero el no lo tenia en su komputador....



la kosa es ke ni el panda ni el avg detectan el virus, el anti troyano tampoko y kuando trato de desinstalar el msn o de reinstalarlo aparecen mil ventanas diciendo que el rpc o algo asi no ha sido enkontrado....



weno ojala me puedan ayudar porke iio no se ke hacer ....



gracias =.

[msc hotline sat]

Sí, aun no está controlado, debe ser nuevo de hoy !



Posteenos el log del HJT a ver si se ven sus claves:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



Aparte, el lunes implementaremos su control y eliminacion en el ELISTARA



saludos



ms, 29-07-2007

[SadakO_666]

el problema es que el virus no esta en el pc...

porque lo borre :S



ke mal... no se que hacer...

[msc hotline sat]

Borraste los ficheros, pero no las claves de registro y demas.



Postea el log del HJT y dejanos hacer a nosotros.



saludos



ms, 29-06-2007

[SadakO_666]

Logfile of HijackThis v1.99.1

Scan saved at 15:18:55, on 29-06-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe

C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe

C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\help\msn.exe

C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe

C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\ARCHIV~1\WinZip\winzip32.exe

C:\DOCUME~1\Daniela\CONFIG~1\Temp\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://descargar.mp3.es/index.php?rvs=hompag

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [IsassRenascimento] C:\WINDOWS\help\Issas.exe

O4 - HKLM\..\Run: [Msn Messenger Live 80] C:\WINDOWS\help\msn.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU\..\Run: [XPRepairPro2007] C:\Archivos de programa\XP Repair Pro 2007\XPRepairPro.exe /r

O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe

O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZK

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/229?206bcdd2acc14dd6a8dc6290a9f11b17

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/230?206bcdd2acc14dd6a8dc6290a9f11b17

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D6376DD2-C2BD-49B2-A1B1-138F869633F3} (ASPRO Installer Class) - http://acs.pandasoftware.com/activescanpro/as5/asproinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{ED473609-6737-4C4E-8FF1-38435BAF9ECC}: NameServer = 200.28.4.129 200.28.4.130

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: McAfee Application Installer Cleanup (0262951183079242) (0262951183079242mcinstcleanup) - - (no file)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe

O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcupdmgr.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\svcntaux.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe

[msc hotline sat]

Elimina estas claves:



R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL



O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL



O4 - HKLM\..\Run: [Msn Messenger Live 80] C:\WINDOWS\help\msn.exe



O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZK



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y desinstala el MSN PLUS que es un foco de adwares !





saludos



ms, 29.06-2007

[SadakO_666]

:lol: muxas gracias por todo....



otra cosa que me kedo dando vueltas....



instale el avg anti spywere



dice ahi.... 55 objetos hallados (165 trazas)



que hago en este caso... los elimino todos????



son peligrosos???



disculpen la molestia, pero soy yo la unika ke puede arreglar el pc, porque de mis familiares con suerte saben prender el pc XD

[msc hotline sat]

Si ya has hecho lo que te deciamos, esto que detecta el antispyware pueden ser cookies y restos, pero en cualquier caso eliminalos, lo que está claro es que no los has instalado voluntariamente, aunque solo sean marcas o restos.



saludos



ms, 30-06-2007

[SadakO_666]

muuuuuuuuxas gracias....



mi pc esta bien ahora y el msn no tiene problemas



son lo mejor..... :D

[msc hotline sat]

Lo celebramos, pero de todas formas, el lunes por la noche (> 20 H GMT) descarga la version del dia de ELISTARA (14.32) y pruebala, para asegurar la total eliminacion de este nuevo troyano.







ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 30-06-2007



nota: y ahora que he podido analizarlo ONLINE, cabe decir que NO LO DETECTAN ni AVAST, ni AVG, ni BiT DEFENDER, ni F-Prot, ni NOD32 ni NORMAN segun el analisis de Jotti's (por orden alfabetico)



Algunos otros lo detectan por el sistema de empaquetado (PESpin) y los que lo detectan, lo hacen indicando que es un troyano downloader hecho el Delphi



segun Jotti's:



File: DSC01330.scr

Status: INFECTED/MALWARE

MD5: 55c4386cd084e5f58e8764fca0170b2f

Packers detected: Analyzing...

Bit9 reports: Not analyzed yet (more info)



Scanner results

Scan taken on 30 Jun 2007 17:24:44 (GMT)

A-Squared Found nothing

AntiVir Found PCK/PESpin

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found Trojan-Downloader.Win32.Delf.aao





















 

["Tincho"]

Hola!



He tenido el mismo problema que la chica que posteo anteriormente. Buscando en internet por una solución llegué hasta aquí.



Corrí el HijackThis y me dió lo siguiente, no se que eliminar para sacar este virus de mi computadora, y tengo miedo de borrar algún archivo que no deba:



Logfile of HijackThis v1.99.1

Scan saved at 05:14:47 p.m., on 01/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe

O4 - HKLM\..\Run: [SoundMax] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs:

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe





Si alguien me puede ayudar, se lo agradeceré.



Saludos!





[size=200] I N T E R V E N I D O [/size]



POR



[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]



no deben mezclarse logs de 2 ordenadores en un mismo Tema.



https://foros.zonavirus.com/viewtopic.php?t=6268



Posteelo en Tema aparte, tras seguir las instrucciones:



https://foros.zonavirus.com/viewtopic.php?t=5148

[lucl]

Para tincho, en primer lugar , siempre es bueno que cada uno abrais un post para vuestro problema, puesto que no se pueden mezclar logs de hijackthis de dos ordenadores. Una vez dicho esto tienes una entrada que no me gusta,



O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\[b]lsasss.exe [/b]





tres s seguidas es mucho me parece a mi :lol: , bueno de momento no hagas nada con el log de hijackthis pero si pasate estos dos programas que te indico, y peganos el log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



Es probable que te pidan muestras, una vez leas el log, si te las piden nos las envias como se indica en esta direccion.



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Muy importante nos peges el log para que veamos lo que han echo, saludos

["Tincho"]

lucl, te agradezco por la respuesta.



He pasado los dos programas que me dijiste, acá pego lo que me quedó en el archivo infosat.txt:





No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Sun Jul 01 19:12:22 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\plug_ins\ImageViewer\Lib\SVGBIB.DLL --> Eliminado, NetNucleus(BHO/TB)

C:\Documents and Settings\Usuario\Escritorio\PC Vieja\Martín\Total Video Converter\OPTIMIZEGIF.DLL --> Eliminado, KeyLogger.FL

Sun Jul 01 19:47:41 2007

EliTriIP v3.71 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\CSRS.EXE --> Eliminado

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun Jul 01 19:48:07 2007

EliTriIP v3.71 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\All Users\Documentos\autorun.inf --> Eliminado, BackDoor.CMQ (inf)







¿El virus seguirá estando?



Una consulta: Todo el proceso no lo hice en el modo a prueba de fallos, lo debería haber hecho de esa manera?



Saludos

[Negra_Valpo]

Hola...bueno...hice todo lo que decian para el problema anterior....pero sigo con el virus en msn!!!!



estos son los datos :(

Logfile of HijackThis v1.99.1

Scan saved at 22:45:12, on 01/07/07

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



[size=200] I N T E R V E N I D O [/size]



POR



[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]



no deben mezclarse logs de 2 ordenadores en un mismo Tema.



https://foros.zonavirus.com/viewtopic.php?t=6268



Posteelo en Tema aparte, tras seguir las instrucciones:



https://foros.zonavirus.com/viewtopic.php?t=5148



_____

[msc hotline sat]

Pues "Negra_Valpo", abra nuevo Tema con el posteo del HJT, que en este ya hay logs de otros ordenadores y ellos no deben mezclarse en un mismo Tema !



Mientras, envienos este fichero que, si no es detectado por el ELISTARA, puede ser una variante del Banload:



C:\WINDOWS\system32\JVM0.exe



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 2-07-2007

[msc hotline sat]

Y otro tanto para "Tincho", abra nuevo Tema donde postear su HJT si necesita mas ayuda, aunque lo del lsasss.exe ya se controla desde la 13.80 del ELISTARA:



---v13.80-(20 de Abril del 2007) (Muestras de Swizzor(lop), Flush(dldr) "KD***.EXE", DownLoader.AQ "CHECKWEB.DLL" y Clicker.Agent.JH "LSASSS.EXE")



pero como que tras probarlo no aparece haberlo detectado, vea si tiene realmente dicho fichero, por si es una variante no controlada...



C:\WINDOWS\system32\lsasss.exe



que no sea un resto mal eliminado del mismo y esté solo en una clave de registro, y si lo encuentra, envienoslo para analizar:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 2-07-2007

[msc hotline sat]

[size=167] Y PARA TODOS LOS AFECTADOS DE ESTE TEMA: ![/size]



Como sea que al ir a descargar el fichero cuando empezamos a trabajar el lunes en SATINFO, ya han capado en la web el acceso al mismo, necesitamos que si alguien lo tiene, nos envie el fichero que le llegaba con el MSN, esto es, el [b] DSC01330.scr [/b] , para poder analizar y proceder a su control y eliminacion.



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 2-07-2007



nota: si no, ya lo traeré mañana de casa, dinde lo descargué ayer, pero es para ganar tiempo y poider solucionarlo hoy, gracias. ms.