Doble Explorer.exe

leonsince1989 · Mensaje por **leonsince1989** » 30 Jun 2007, 23:20

Bueno , ya e solucionado el flush de internet (Elistar ya no me dic eque estoy infectado ni nada) Y les mande la muestra dos veces (creo que lamuestra era el virus en si empaquetado gracias a elitrip y bya esta)

miren el blog limpio

Sat Jun 30 13:45:31 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Un a vez que me decise de eso empezo a tener problemas como al abrir paginas no sincroniza el sonido con lo que hago o deje el pc inactivo y se empezo a escuchar como si alguien navegara entre mis carpetas (ese ''click'' que se escucha)

al revisar la barra de tareas veo que tengo dos internet explorer.exe

(uno que se pone en priridad alta y otro en normal, una de 13KB y otra de 15KB)

y ni el antivirus ni el elistar lo detectan

en el hijack this me aparecieron los dos asi (no pongo el log por que creo que esta mal que lo ponga aqui no?)

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Explorer.EXE

he como ven la misma ruta solo que dos veces y las dos trabajan de diferente manera

ayuda por favor :(

Mensaje por **lucl** » 01 Jul 2007, 10:58

Hola, tienes que volver a pasar elistara y cuando te salga explorar darle, puesto que solo has echo el analisis por accion directa, nos falta el de exploracion, peganos el log de nuevo, en cuanto al hijackthis, tu pon aqui el resultado que msc lo analizara igual, saludos

Mensaje por **msc hotline sat** » 01 Jul 2007, 11:05

Y posteanos el log de HJT a ver si vemos la razon de ello:
¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

saludos
ms, 1-07-2007

leonsince1989 · Mensaje por **leonsince1989** » 01 Jul 2007, 22:41

Deveras creo que es algo grave, el virus se manifiesta cada vez que exploro mis carpetas y cuando las cierro se va (se llama explorer.exe igual que el normal de windows solo que este usa menos memoria, se pone en prioridad alta y decontrola el pc)

aqui estanlos dos log para que vean que ninguno d elos dos detecta nada. (a de ser un nuevo virus y me di cuenta de el cuando les mande la muestra el otro dia del flush) el virus tambein no me deja acceder a mi coneccion de red (no veo los detalles ni nada aunque si puede usar internet).

Logfile of HijackThis v1.99.1
Scan saved at 01:45:31 p.m., on 01/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\HP\hpcoretech\comp\hptskmgr.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\ARCHIV~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Leon\Mis documentos\Programas\ELISTARA.09072007.EXE
C:\Archivos de programa\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Adobe Reader Synchronizer.lnk] C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144978460219
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe

(ALLI ESTAN LOS DOS EXPLORER.EXE EL DE HASTA ARRIBA EN EL VIRUS)


Sun Jul 01 13:41:23 2007
EliStartPage v14.31  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sun Jul 01 13:41:40 2007
EliStartPage v14.31  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

(ELISTAR YA NI RECONOCE NADA EL POBRE)

SNIFF SERA ACASO EL FIN DE MI PC T_T

leonsince1989 · Mensaje por **leonsince1989** » 02 Jul 2007, 05:39

Saben acabo de descubrir algo interesante, creo que no es un virus, lo que sucede esque ni el NOD32 ni el Elistar detectan nada, y tenia los dos explorer al mismo tiempo, asi que restaure el sistema a un estado anterior y el explorer ya funciona ! peroo.. lo siguiente que ataco fue el firefox, asi que lo tube que reinstalar (encima del que tenia) y tambien se arreglo! despues abrio dos Nod32kui.exe (asi es exactamente como paso con el explorer.exe) esto me dice que lo que padesco es un error en mim maquina mas que un virus o bien el virus eliminado dejo inestable o ''hueco algo y cada vez que arreglo algo otra cosa se descompone, que recomiendan para arreglar la inestabilidad esta¿?

Mensaje por **msc hotline sat** » 02 Jul 2007, 05:53

Su log está limpio de virus

Y si persiste algun problema, pruebe de REPARAR sistema, que igual con todo lo que ha hecho ha desaparecido alguna DLL o modificado algun fichero...

Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

saludos
ms, 2-07-2007

Mensaje por **msc hotline sat** » 03 Jul 2007, 12:54

Tras recibir la muestra pedida hemos desarrollado nueva versión del ELISTARA /ELINOTIF que lo controla y elimina:

El fichero analizado contiene nueva variante del virus FLUSH

Con la version de hoy del ELISTARA 14.33 + ELINOTIF.DLL podrá eliminar ficheros relacionados y claves correspondientes

ELISTARA: http://www.zonavirus.com/descargas/elistara.asp
ELINOTIF.DLL: http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 3-07-2007

Pruebelo y nos informa del resultado

y recuerde: viewtopic.php?f=1&t=17624

ms.