gusano que se autoenvia a todos mis contactos (SOLUCIONADO)

[micheleconunaele]

Hola:

Hace unos dias me llegó un correo de una amiga, el tema me parecio extraño así que no lo abri y lo eliminé, pero ahora, mis contactos están recibiendolo tambien, como email:

el mensaje es este:



desde ya gracias por la ayuda:D



Re: Veja quem lhe enviou um belo cartão, miguelbarreda@gmail.com> Ol�. miguelbarreda@gmail.com> michele - The invisible moving the visible, enviou um Cart�o virtual para> voc� !!! > para visualizar> clique no Link Abaixo> > http://h1.ripway.com/amordez/?name=miguelbarreda@gmail.com&Rname=micheleglr@ho> tmail.com> Esse Cart�o e V�lido por 15 dias







corrí el hijack this y esto es lo que salio:









Logfile of HijackThis v1.99.1

Scan saved at 11:12:25, on 08/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\SiteAdvisor\6066\SiteAdv.exe

C:\Archivos de programa\Spyware Terminator\SpywareTerminatorShield.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe

C:\Archivos de programa\Sandboxie\Control.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Sandboxie\SbieSvc.exe

C:\Archivos de programa\SiteAdvisor\6066\SAService.exe

C:\Archivos de programa\Spyware Terminator\sp_rsser.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Adobe\Adobe Photoshop CS2\Photoshop.exe

C:\WINDOWS\system32\svchost.exe

C:\DOCUME~1\MICHAEL\CONFIG~1\Temp\Adobelm_Cleanup.0001

C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

C:\DOCUME~1\MICHAEL\CONFIG~1\Temp\Adobelm_Cleanup.0001

C:\Archivos de programa\Archivos comunes\ACD Systems\DBLocalServer.exe

C:\Archivos de programa\ACD Systems\ACDSee\6.0\ACDSee6.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\MICHAEL\Configuración local\Temp\wz2976\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6066\SiteAdv.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.4.29.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6066\SiteAdv.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\6066\SiteAdv.exe

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Archivos de programa\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exe" -startup

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Archivos de programa\Intel Audio Studio\IntelAudioStudio.exe" BOOT

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [PowerBar] "C:\Archivos de programa\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime

O4 - HKCU\..\Run: [SandboxieControl] C:\Archivos de programa\Sandboxie\Control.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/229?749f565bb6434d118a81bb54205b3e14

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/230?749f565bb6434d118a81bb54205b3e14

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.adobe.com

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6066\SiteAdv.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Diskeeper - Diskeeper® Corporation - C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Archivos de programa\Sandboxie\SbieSvc.exe

O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Archivos de programa\SiteAdvisor\6066\SAService.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Archivos de programa\Spyware Terminator\sp_rsser.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

[lucl]

pues pasate elistara y veamos si te detecta algo, si no es asi, igual te pide que nos envies muestra, cuando pases elistara peganos el log que te dejara en C llamado infosat.txt para ver que te ha encontrado, saludos





http://www.zonavirus.com/descargas/elistara.asp

[micheleconunaele]

holas, gracias por responder TAN rapido!!!! :D honolable señol!!!:lol: :lol:



corrí el elistara...y encontro esto:



Sun Jul 08 13:55:10 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"



Sun Jul 08 13:57:06 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Jul 08 13:58:16 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\CHAMBER.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\ECHO.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\FLANGER.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\GRAPHICPHASE.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\HARDLIMIT.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\MULTITAP.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\NOTCH.DLL --> Eliminado, Puper-Is (BHO)

C:\Archivos de programa\Selingua\SELINGUA.EXE --> Eliminado, DownLoader.VF

C:\Archivos de programa\Spyware Terminator\SPTCONTMENU.DLL --> Eliminado, KeyLogger.FL



Sun Jul 08 14:07:01 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad A:\



Sun Jul 08 14:07:06 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\Software\flvconverter\flash_presets\AutoPlay\Docs\Macromedia Flash Pro 8 plus keygen\KEYGEN.EXE --> Eliminado, KeyGen.ZWT

E:\Software\macromedia8\AutoPlay\Docs\KEYGEN.EXE --> Eliminado, KeyGen.ZWT

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Jul 08 14:27:04 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Sun Jul 08 14:27:37 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

[msc hotline sat]

Pues creo que lucl de señol no tiene nada, mas bien es honolable señola, y en estado de buena esperanza y todo :wink:



Y volviendo a lo nuestro, tienes el NOD32 y el McAFee instalados, desinstala uno de los dos, pues no debe haber mas de un antivirus instalados para evitar colisiones y ralentizacion.



Tras lo indicado, comentanos el resultado, gracias



saludos



ms, 8-07-2007



Nota y este temporal, si persiste, dinoslo:



C:\DOCUME~1\MICHAEL\CONFIG~1\Temp\Adobelm_Cleanup.0001

[micheleconunaele]

Perdon a [b]LUCL[/b] por el cambio de genero, mi japones sel muy malo;)



A [b]msc hotline sat[/b] no tengo el antivirus macaffe, lo que tengo es el site advisor:

http://www.siteadvisor.com/

(informa sobre la seguridad de las webs que visito:P )



Volvi a correr el listara y no encontro nada malo...y luego el hijack

this y ya no está el temporal que mencionaste:D me atrevo a suponer que eso es bueno... no???



de nuevo gracias a los dos por responder tan pero TAN rapido !!!

y felicitaciones a LUCL por el estado de buena esperanza,

no lo entiendo muy bien supongo que es una expresion

española, (pero,me suena a un visitante del espacio interior),

asi que si le acierto, felicitaciones!!!!

:D:D:D

[msc hotline sat]

Pues acertastes en los dos casos:



El Site Advisor tambien lo uso yo y está fuera de lugar la eliminacion de la clave por tener NOD32, no son incompatibles.



Y efectivamente eL estado de buena esperanza de una mujer es estar esperando un hijo, tambien se le llama estar embarazada (que un poco embarazoso sí debe ser... :roll: ) , supongo que en Perú tambien teneis vuestro léxico para el caso, pues bueno es compartir conocimientos. Si te "provoca" como dirian en Colombia, abre un Tema al respecto en EL DESCANSO y podriamos compartir vocablos que utilizamos segun pais, aun que hablemos castellano.



Pues ya sin problemas, damos por solucionado el Tema y procedemos a cerrarlo



saludos



ms, 9-07-2007