ACCESS VIOLATION AT ADDRESS 00472F4E IN"MSN.EXE(SOLUCIO

Jota´S · Mensaje por **Jota´S** » 09 Jul 2007, 05:53

Hola a todos, un saludo!!

Por favor, alguien que me de una ayuda.

Cada vez que prendo mi equipo, se abren innumerables ventanas de Symantec, que traen el siguiente mensaje:

ACCESS VIOLATION AT ADDRESS 00472F4E IN MODULE "MSN.EXE. READ OF ADDRESS 00000000

Para cerrarlas todas lo que he hecho es dar f4+Alt, tantas veces como ventanas se han abierto, al final aparece otra ventana en portugués que dice algo asi como:

Ha llegado una carta virtual para ti, para verla da clic

No he notado otra alteración en el funcionamiento del equipo, pero estoy preocupado pues no se que pueda ser.

He corrido el antivirus AVG, y no muestra nada.

Tambien el Spybot-Search & Destroy, y me felicita por no tener amenazas!!!

Al igual que el Ad-Aware SE Personal

Por favor si alguien puede aclarar, le estare muy agradecido

Nuevamente un saludo y 1000 gracias!!!

Mensaje por **msc hotline sat** » 09 Jul 2007, 06:18

Prueba el ELISTARA y veamos lo que nos dice el report:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 9-07-2007

Jota´S · Mensaje por **Jota´S** » 09 Jul 2007, 06:58

[quote="msc hotline sat"]Prueba el ELISTARA y veamos lo que nos dice el report:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 9-07-2007[/quote]

Gracias, lo descargue y luego de correrlo, el resultado es el siguiente:

Sun Jul 08 22:31:24 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\START.BAT --> Eliminado (Fichero Complementario).

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Jul 08 22:35:16 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Jul 08 22:35:27 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\LogMeIn\x86\LMIINIT.DLL --> Eliminado, RemoteAdmin(lmiinit)

C:\WINDOWS\system32\LMIINIT.DLL --> Eliminado, RemoteAdmin(lmiinit)

C:\WinLogon\LMIINIT.DLL --> Eliminado, RemoteAdmin(lmiinit)

Nuevamente 1000 gracias!!

Quedo a la espera de su respuesta, Ah, ahora al reiniciarlo, se presentaron nuevamente 10000 ventanas de Symantec

Mensaje por **msc hotline sat** » 09 Jul 2007, 07:04

Pues veamos log del HJT:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 9-07-2007

Jota´S · Mensaje por **Jota´S** » 09 Jul 2007, 17:24

Bueno lo encontrado en HIJACKTHIS:

Logfile of HijackThis v1.99.1

Scan saved at 9:30:52, on 09/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\LogMeIn\x86\RaMaint.exe

C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Hewlett-Packard\hp business inkjet 1100 series\Toolbox\mpm.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe

C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mm_tray.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\WINDOWS\help\svhost.exe

C:\WINDOWS\help\farway.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.EXE

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\help\systemb.exe

C:\Archivos de programa\xerox\Pagis\Monitor.exe

C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\ARCHIV~1\MUSICM~1\MUSICM~1\MMDiag.exe

C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mim.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\HIJACKTHIS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: del.icio.us Toolbar Helper - {7AA07AE6-01EF-44EC-93CA-9D7CD41CCDB6} - C:\Archivos de programa\del.icio.us\Internet Explorer Buttons\dlcsIE.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: del.icio.us - {981FE6A8-260C-4930-960F-C3BC82746CB0} - C:\Archivos de programa\del.icio.us\Internet Explorer Buttons\dlcsIE.dll

O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [HPWH myPrintMileage Agent] C:\Archivos de programa\Hewlett-Packard\hp business inkjet 1100 series\Toolbox\mpm.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [MimBoot] C:\ARCHIV~1\MUSICM~1\MUSICM~1\mimboot.exe

O4 - HKLM\..\Run: [MMTray] "C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mm_tray.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [renascimento] C:\WINDOWS\help\svhost.exe

O4 - HKLM\..\Run: [IsassRenascimento] C:\WINDOWS\help\Issas.exe

O4 - HKLM\..\Run: [Msn Messenger Live 80] C:\WINDOWS\Prefetch\msn.exe

O4 - HKLM\..\Run: [Farfarway 1.0] C:\WINDOWS\help\farway.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [E06EXLRD_2952125] "C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.EXE" -m

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Usuario\CONFIG~1\Temp\winlogon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [systemb] C:\WINDOWS\help\systemb.exe

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Gestor de programación de Pagis.lnk = C:\Archivos de programa\xerox\Pagis\Monitor.exe

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: KYESCAN.lnk = C:\Archivos de programa\ScannerU\Kyescan.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Search -

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/229?7566d6443b374c82a0826e6b8d22a79e

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/230?7566d6443b374c82a0826e6b8d22a79e

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enlace de descarga usando Mega Manager... - C:\Archivos de programa\Megaupload\Mega Manager\mm_file.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.es/s/v/15.12/uploader2.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://bulldog441.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~3\GOEC62~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: GoogleDesktopManager - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

Mensaje por **msc hotline sat** » 09 Jul 2007, 17:39

Pues a la vista de ello, vemos gusanos tipicos de intrusiones por falta de parches, como SDBOT y demas. Ante todo pruaba tambien el ELITRIIP y luego envianos los ficheros que indicamos, si no han sido borrados por dicha utilidad:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Enviarnos ficheros sospechosos para analizar:

C:\WINDOWS\help\svhost.exe

C:\WINDOWS\help\farway.exe

C:\WINDOWS\help\systemb.exe

C:\WINDOWS\help\Issas.exe

C:\WINDOWS\Prefetch\msn.exe

C:\DOCUME~1\Usuario\CONFIG~1\Temp\winlogon.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 9-07-2007

Jota´S · Mensaje por **Jota´S** » 09 Jul 2007, 18:19

Hola nuevamente, y 1000 gracias por su atención

He bajado el ELITRIP y lo he pasado por mi PC, el resultado es:

Mon Jul 09 09:56:15 2007

EliTriIP v3.75 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Mon Jul 09 09:56:42 2007

EliTriIP v3.75 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Mon Jul 09 09:56:48 2007

EliTriIP v3.75 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Los archivos para analizar los enviare por la otra direccion, nuevamente 1000 gracias y continuo a la espera de sus respuestas, gracias! Ah, respecto a los parches y windows update incompleto, que tengo que hacer??

Un saludo

Mensaje por **msc hotline sat** » 09 Jul 2007, 18:23

Pues si que es raro !, todos estos descontrolados ...:

[quote]
Enviarnos ficheros sospechosos para analizar:

C:\WINDOWS\help\svhost.exe

C:\WINDOWS\help\farway.exe

C:\WINDOWS\help\systemb.exe

C:\WINDOWS\help\Issas.exe

C:\WINDOWS\Prefetch\msn.exe

C:\DOCUME~1\Usuario\CONFIG~1\Temp\winlogon.exe

[/quote]

bueno, los controlaremos tan pronto lleguen, teniendo en cuenta que en SATINFO hacemos jornada de verano de 8 a 15 H GMT.

saludos

ms, 9-07-2007

Jota´S · Mensaje por **Jota´S** » 10 Jul 2007, 09:52

Hola MSC HOTLINE SAT, un saludo

En vista que me estaban volviendo LOCO las malditas ventanas de Symantec, decidi hacer lo siguiente:

Ingrese a C\WINDOWS\PREFETECH\

Y tire a la basura este archivo: MSN:EXE, y otros 2, también MSN, reinicie el equipo y ... ya no aparecen más estas molestas ventanas de Symantec.

Ahora bien, la pregunta es: el botar esos archivos puede ocasionarme algún problema???

Por favor, sacame de la duda!!!

Nuevamente 1000 gracias!!

Ya envie 4 de los 6 ficheros sospechosos para el análisis, hubo 2 que no encontré!!, C:\WINDOWS\help\Issas.exe y C:\DOCUME~1\Usuario\CONFIG~1\Temp\winlogon.exe

Quedo a la espera de las respuestas

Gracias, y un saludo

Mensaje por **msc hotline sat** » 10 Jul 2007, 10:08

Si no nos has enviado los ficheros, como quieres que sepamos lo que hacian ???

Ni idea, por eso pediamos que nos enviaras muestra de ellos, para monitorizarlos, ver lo que hacen y deshacerlo, pero ...

Veremos las que nos has enviado y trabajaremos sobre ellas, aunque no tienen porqué tener nada que ver con las que borraste.

saludos

ms, 10-07-2007

Mensaje por **msc hotline sat** » 10 Jul 2007, 10:24

Los ficheros recibidos son .PF, no .EXE !!!

nada que analizar, son prefecth, no ejecutables

Se piden estos, de las carpetas y extensiones que se indican :

[quote]

Enviarnos ficheros sospechosos para analizar:

C:\WINDOWS\help\svhost.exe

C:\WINDOWS\help\farway.exe

C:\WINDOWS\help\systemb.exe

C:\WINDOWS\help\Issas.exe

C:\WINDOWS\Prefetch\msn.exe

C:\DOCUME~1\Usuario\CONFIG~1\Temp\winlogon.exe
[/quote]

Repite el envio, pero fijate bien que las extensiones sea .EXE , sino no se pueden monitorizar !

saludos

ms, 10-07-2007

Jota´S · Mensaje por **Jota´S** » 10 Jul 2007, 22:16

[quote="msc hotline sat"]Los ficheros recibidos son .PF, no .EXE !!!

nada que analizar, son prefecth, no ejecutables

Se piden estos, de las carpetas y extensiones que se indican :

[quote]

Enviarnos ficheros sospechosos para analizar:

C:\WINDOWS\help\svhost.exe

C:\WINDOWS\help\farway.exe

C:\WINDOWS\help\systemb.exe

C:\WINDOWS\help\Issas.exe

C:\WINDOWS\Prefetch\msn.exe

C:\DOCUME~1\Usuario\CONFIG~1\Temp\winlogon.exe
[/quote]

Repite el envio, pero fijate bien que las extensiones sea .EXE , sino no se pueden monitorizar !

saludos

ms, 10-07-2007[/quote]

Discúlpame MSC HOTLINE SAT, lo enviado fue lo que encontré en mi equipo.

No se si no supe buscar, pero lo que hice fue ingresar a

C\WINDOWS\HELP

y al no encontrar ahí ningún fichero con los nombres enviados, fui a INICIO - BUSCAR, digité uno a uno los nombres, seguidos de .exe

y comprimi los ficheros que alli encontre, y luego los envie a zonavirus@satinfo.es

Por favor si no lo supe hacer, muéstreme cual camino debo seguir!! y nuevamente disculpe mi torpeza!!!

Gracias por su amabilidad !!!

Mensaje por **msc hotline sat** » 11 Jul 2007, 07:48

Lo dices muy bien, pero no lo hiciste así, ya que lo que nos enviaste fueron *.PF , compruebalo desempaquetando el fichero que nos enviaste...

Repite la operacion, pero aegurate que lo ue nos envias son *.EXE :wink:

saludos

ms, 11-07-2007

Jota´S · Mensaje por **Jota´S** » 11 Jul 2007, 09:11

Hola nuevamente, MSC HOTLINE SAT, un saludo!!

Tal como lo escribi, lo hice.

En C\WINDOWS\HELP\... No aparece ninguno de los ficheros que me piden, los unicos ficheros que encontre, por INICIO\BUSCAR... con esos nombres fueron los que envie, y ahora se que no son *.EXE, así esté incluido en el nombre un punto y la palabra "EXE", pero es que con ese nombre y *.EXE no existen!!

Los unicos 3 ficheros de aplicacion (Creo que "aplicacion" es lo mismo que *.EXE. o estoy equivocado (?) sacame de la duda, gracias!!), que estan alli en C\WINDOWS\HELP\... son atualisa y atualisa02 (que entre otras cosas, no se que seran, pero que me dan mala espina ya que la descripcion dice Cartoes Postal de la Organizacion Cartao Postal, y digo que me dan mala espina es por lo que vienen en portugues, y la comunicacion que llego y que me creo tantas y tantas ventanas, y que fue la que me hizo escribir al Foro, viene tambien en portugues)

Y uno farway, (que estoy enviando al mail)

Dentro de los ficheros que me piden aparece uno con la ruta C\WINDOWS\HELP\Lssas.exe, pero en mi PC, lo encuentro por otra ruta: C\WINDOWS\SYSTEM32\LSSAS, no se si sera este el que debo enviar?

Los demás ficheros, con *.EXE, no existen!!!

Nuevamente 1000 gracias, ah, y por favor contarme que hago con lo de - ALERTA. WindowsUpdate Incompleto. (Como lo completo?)

Por otro lado ya instale los parches que faltaban, otra vez gracias!! :wink:

Estoy intentando enviar a zonavirus@satinfo.es, el fichero FARWAY en zip, pero gmail me dice que por razones de seguridad, no se permite el envio de archivos ejecutables! que hago entonces?

Otra vez, Gracias!!

Mensaje por **msc hotline sat** » 11 Jul 2007, 09:50

pUES ESTOS TRES FICHEROS LOS TIENES EN USO, asi que los has de tener en esta carpeta, si no los ves, arranca en consola de recuperacion, con el CD de instalacion y desde DOS te vas a la carpèta indicada y los copias a un disquete, y luego nos los envias:

C:\WINDOWS\help\svhost.exe

C:\WINDOWS\help\farway.exe

C:\WINDOWS\help\systemb

El Isass.exe puede que lo borraras, igual que el MSN de la carpeta prefecth, que tuviste la mala idea de borrarlo, y con eso pierdes la posibilidad de ayuda.

Pero estos tres si quieres que te ayudemos, arranca con el CD de instalacion, seleccionas R para entrar en consola de recuperacion, colocas undisquete formateado en A: y ejecutas

c: <enter>

cd windows <enter>

cd help <enter>

copy svhost.exe a: <enter>

copy farway.exe a: <enter>

copy systemb.exe a: <enter>

copy Isass.exe a: <enter>

Luego reinicias normal y empaquetas los ficheros del disquete en un ZIP o RAR con password VIRUS y nos lo envias.

Al ser un empaquetado encriptado no lo va impedir enviar tu cliente de correo.

Cuando lo hayamos recibido procederemos a analizarlos e implementar su control y eliminacion, si procede en nuestras utilidades, pero hasta que no los tengamos, nada podemos hacer.

saludos

ms, 11-07-2007

Jota´S · Mensaje por **Jota´S** » 11 Jul 2007, 10:47

Hola MSC HOTLINE SAT, un saludo y gracias!

En vista de que no tengo aca el cd de instalacion, decidi correr nuevamente el ELISTARA y este es el resultado:

Wed Jul 11 02:26:42 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 11 02:27:00 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\LogMeIn\x86\update\X86__LMIINIT.DLL --> Eliminado, RemoteAdmin(lmiinit)

Tambien corri el HIJACKTHIS, y esto encontro:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2:11:22, on 11/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Hewlett-Packard\hp business inkjet 1100 series\Toolbox\mpm.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe

C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mm_tray.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

C:\WINDOWS\help\farway.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.EXE

C:\Archivos de programa\xerox\Pagis\Monitor.exe

C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\ARCHIV~1\MUSICM~1\MUSICM~1\MMDiag.exe

C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mim.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: del.icio.us Toolbar Helper - {7AA07AE6-01EF-44EC-93CA-9D7CD41CCDB6} - C:\Archivos de programa\del.icio.us\Internet Explorer Buttons\dlcsIE.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll

O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: del.icio.us - {981FE6A8-260C-4930-960F-C3BC82746CB0} - C:\Archivos de programa\del.icio.us\Internet Explorer Buttons\dlcsIE.dll

O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [HPWH myPrintMileage Agent] C:\Archivos de programa\Hewlett-Packard\hp business inkjet 1100 series\Toolbox\mpm.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [MimBoot] C:\ARCHIV~1\MUSICM~1\MUSICM~1\mimboot.exe

O4 - HKLM\..\Run: [MMTray] "C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mm_tray.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Farfarway 1.0] C:\WINDOWS\help\farway.exe

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [E06EXLRD_2952125] "C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.EXE" -m

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Gestor de programación de Pagis.lnk = C:\Archivos de programa\xerox\Pagis\Monitor.exe

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: KYESCAN.lnk = C:\Archivos de programa\ScannerU\Kyescan.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Search -

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enlace de descarga usando Mega Manager... - C:\Archivos de programa\Megaupload\Mega Manager\mm_file.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.es/s/v/15.12/uploader2.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://bulldog441.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~3\GOEC62~1.DLL

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: GoogleDesktopManager - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Usuario/CONFIG~1/Temp/msohtml1/01/clip_image002.jpg

--

End of file - 11506 bytes

Los envio solo por si sirven de algo, ya que por lo visto el unico fichero que hay de los que me solicitaron es: C:\WINDOWS\help\farway.exe, que es el que no puedo enviar por gmail, por favor cuenteme si el equipo tiene o no residentes, y si debo enviar el fichero farway; que hago para poder hacerlo, no entiendo que es "un empaquetado encriptado con password VIRUS"

De no ser necesario daria por terminado este tema, ya que creo he sido muy insistente, muchas gracias!!

Solo un ultimo favor: contarme que hago con lo de - ALERTA. WindowsUpdate Incompleto. (Como lo completo?)

Un saludo!!

Mensaje por **msc hotline sat** » 11 Jul 2007, 10:56

Uno o varios ficheros se pueden empaquetar con WINZIP o WINRAR y en opciones avanzadas de estas apliacciones se ofrece el poner un password, que pedimos que sea VIRUS y asi encriptar la informacion para que no sea interceptada por ningun antivirus de la Red. Asi lo hacemos cada dia con los ficheros que enviamos a McAfee , desde hace mas de 15 años !

La deteccion de windowsupdate incompleto indica que faltan parches de microsoft. Lance un windowsupdate.

Y como verá en la primera parte del log de HJT, estos ficheros que le pedimos los tiene residentes... asi que los tiene y en marcha.

Pero por si se escondieran con un Rootkit le hemos indicado como acceder a ellos desde consola de recuperacion, y asi no se pueden esconder.

Pero envienos lo que pueda, al menos eliminaremos este, y a lo mejor, por coincidencia de cadenas si son de la misma familia, encontramos y eliminamos los otros...

saludos

ms, 11-07-2007

Jota´S · Mensaje por **Jota´S** » 13 Jul 2007, 01:01

Hola, un saludo y gracias!

Mi equipo marcha bien, asi que este tema puede darse por solucionado!

1000 gracias!!

Mensaje por **msc hotline sat** » 13 Jul 2007, 12:30

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 13 de Julio de 2007

ACCESS VIOLATION AT ADDRESS 00472F4E IN"MSN.EXE(SOLUCIO

ACCESS VIOLATION AT ADDRESS 00472F4E IN"MSN.EXE(SOLUCIO

Luego de HIJACKTHIS...

Luego de ELITRIP