hola
por favor necesito que me ayuden tengo ese virus de foto_celular y me acabo de registrarnose si ya lo abian cerrado el caso pero necesito por favor que m digan como desaserme de el, si lo elimino vuelve a aparecer en disco c. todavia hoy se me paso y le pregunte a un amigo si no sabia como desaserme y me dijo que restaurar el sistema pero le ponia restaurar y me decia que "restaurar el sistemano puede proteger su equipo. reinicie el equipo y vuelva a restaurar el sistema" y lo ise pero me decia lo mismo yo tngo xp no vista, prove con mi antivirus y dice que no hay nada por favor ayudenme
esperoo su respuesta gracias
ayuada con foto_celular porfavor (SOLUCIONADO)
-
juaninho04
- Mensajes: 6
- Registrado: 21 Jul 2007, 23:50
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Y en general, una vez mas, se indica lo ya esxpuesto en otros Temas anteriores:
[quote="Para el "fotos_celular, msc"]
Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:
Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.
Con lo indicado es suficiente para la primera variante, pero:
______________
En alguna nueva variante vemos paralelamente el BIFROSE, posiblemente descargado por dicho virus, para lo que disponemos del ELITRIIP que se puede probar si persiste el problema:
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
______________
Si con lo indicado no ha sido suficiente, conocemos otras variantes que utilizan, además, otros ficheros , de los que hemos pedido muestra para controlarlos e implementar su control y eliminacion en el ELISTARA, pero mientras, procederemos manualmente a buscar y renombrar a extension .VIR los siguientes ficheros (y enviarnos muestras de ellos !!!) :
SVSCHOST.EXE (no SVCHOST.EXE, cuidado)
STARTING.EXE (que al estar en DLLCACHE, puede estar en mas sitios)
buscarlos con Inicio -> Buscar -> en todas las carpetas y ficheros, y proceder con ello, ademas de lo indicado en la primera parte, básico para todos.
Conste que este SVSCHOST.EXE ya controlamos el de la primera variante, pero por lo visto los hay diferentes en las nuevas, y, junto con el STARTING.EXE, es lo que nos queda por controlar automaticamente, y que si nos enviais las muestras solicitadas, lo implementaremos en las siguientes versiones del ELISTARA:
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
[/quote]
saludos
ms, 22-07-2007
[quote="Para el "fotos_celular, msc"]
Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA
ELISTARA:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:
Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.
Con lo indicado es suficiente para la primera variante, pero:
______________
En alguna nueva variante vemos paralelamente el BIFROSE, posiblemente descargado por dicho virus, para lo que disponemos del ELITRIIP que se puede probar si persiste el problema:
ELITRIIP:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
______________
Si con lo indicado no ha sido suficiente, conocemos otras variantes que utilizan, además, otros ficheros , de los que hemos pedido muestra para controlarlos e implementar su control y eliminacion en el ELISTARA, pero mientras, procederemos manualmente a buscar y renombrar a extension .VIR los siguientes ficheros (y enviarnos muestras de ellos !!!) :
SVSCHOST.EXE (no SVCHOST.EXE, cuidado)
STARTING.EXE (que al estar en DLLCACHE, puede estar en mas sitios)
buscarlos con Inicio -> Buscar -> en todas las carpetas y ficheros, y proceder con ello, ademas de lo indicado en la primera parte, básico para todos.
Conste que este SVSCHOST.EXE ya controlamos el de la primera variante, pero por lo visto los hay diferentes en las nuevas, y, junto con el STARTING.EXE, es lo que nos queda por controlar automaticamente, y que si nos enviais las muestras solicitadas, lo implementaremos en las siguientes versiones del ELISTARA:
->
[/quote]
saludos
ms, 22-07-2007
Última edición por msc hotline sat el 24 Ago 2007, 05:51, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
juaninho04
- Mensajes: 6
- Registrado: 21 Jul 2007, 23:50
muchas gracias aca esta el informe, pero sigue el virus y no se q es lo que me quieren decir con esos ficheros no entiendoque mas tengo que hacer bye gracias si m pueden volver a ayudar[/quote]
- Adjuntos
-
- InfoSat.txt
- pues muhcas gracias por la ayuda pero creo q sigue el virus en msn. supuestamente lo elimino pero sigue alla
- (7.19 KiB) Descargado 38 veces
hola joaninho, debes pegar el resultado del log con un copiar pegar, no sirve que lo adjuntes asi porque se ve mal,
vete a C, infosat.txt copiar- pegar y lo pones, ademas se entrevee que tenias el cid y para el recomendamos esto
[b]Para todos los afectados por el CiD, lo primero será tratar de desinstalar el programa desde Inicio -> Panel de Control -> Agregar o Quitar programas , luego pasar el ELISTARA y por ultimo y en modo seguro, lanzar el HJT y postearnos el log resultante.[/b]
[b]
[color=yellow]HJT : (HiJackThis)[/color] [/b]
[i]¿Como utilizar el Hijackthis ?[/i]
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b] [/url]
Tras analizarlo, informaremos
ademas el elistara te ha debido dejar en la carpeta muestras que tendras en C, algo para que lo envies, sigue las recomendaciones aqui,
https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
y no olvides pegarnos los dos logs que tengas del elistara es primordial para que podamos leer lo que ha echo!! saludos
vete a C, infosat.txt copiar- pegar y lo pones, ademas se entrevee que tenias el cid y para el recomendamos esto
[i]¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·
Tras analizarlo, informaremos
ademas el elistara te ha debido dejar en la carpeta muestras que tendras en C, algo para que lo envies, sigue las recomendaciones aqui,
y no olvides pegarnos los dos logs que tengas del elistara es primordial para que podamos leer lo que ha echo!! saludos
-
juaninho04
- Mensajes: 6
- Registrado: 21 Jul 2007, 23:50
aki esta las muestras y lo otro q m pidieron espero q les si
Logfile of HijackThis v1.99.1
Scan saved at 16:16:23, on 22/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\BitTorrent\bittorrent.exe
C:\WINDOWS\System\SmWizard.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\iTunes\iTunes.exe
C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.547\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://WWW.GOOGLE.COM.MX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer O_o
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [safefragmemolive] C:\Documents and Settings\All Users\Datos de programa\locks dupe safe frag\wipe owns.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [MessengerPlusLiveUninstall] "C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\MsgPlusUninstall.exe" /Cleanup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Deafpoll] C:\DOCUME~1\ADMINI~1\DATOSD~1\KNOBMU~1\Remote Show.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites -http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open in new background tab - res://C:\Archivos de programa\Windows Live Toolbar\Components\en-us\msntabres.dll.mui/229?8983bfca034441d9977c239249304ad3
O8 - Extra context menu item: Open in new foreground tab - res://C:\Archivos de programa\Windows Live Toolbar\Components\en-us\msntabres.dll.mui/230?8983bfca034441d9977c239249304ad3
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe
O23 - Service: Servicio de restauración de sistema (srservice) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)
Scan saved at 16:16:23, on 22/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\BitTorrent\bittorrent.exe
C:\WINDOWS\System\SmWizard.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\iTunes\iTunes.exe
C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.547\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer O_o
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [safefragmemolive] C:\Documents and Settings\All Users\Datos de programa\locks dupe safe frag\wipe owns.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [MessengerPlusLiveUninstall] "C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\MsgPlusUninstall.exe" /Cleanup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Deafpoll] C:\DOCUME~1\ADMINI~1\DATOSD~1\KNOBMU~1\Remote Show.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites -
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open in new background tab - res://C:\Archivos de programa\Windows Live Toolbar\Components\en-us\msntabres.dll.mui/229?8983bfca034441d9977c239249304ad3
O8 - Extra context menu item: Open in new foreground tab - res://C:\Archivos de programa\Windows Live Toolbar\Components\en-us\msntabres.dll.mui/230?8983bfca034441d9977c239249304ad3
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe
O23 - Service: Servicio de restauración de sistema (srservice) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Se le pedia que lanzara el HJT arrancando en modo seguro, y no lo hizo...
Bueno, envienos estos ficheros para analizar:
C:\Documents and Settings\All Users\Datos de programa\locks dupe safe frag\wipe owns.exe
C:\DOCUME~1\ADMINI~1\DATOSD~1\KNOBMU~1\Remote Show.exe
y desinstale el Messenger Plus, !
aparte elimine esta clave:
O23 - Service: Servicio de restauración de sistema (srservice) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
saludos
ms, 23-07-2007
Bueno, envienos estos ficheros para analizar:
C:\Documents and Settings\All Users\Datos de programa\locks dupe safe frag\wipe owns.exe
C:\DOCUME~1\ADMINI~1\DATOSD~1\KNOBMU~1\Remote Show.exe
y desinstale el Messenger Plus, !
aparte elimine esta clave:
O23 - Service: Servicio de restauración de sistema (srservice) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)
->
saludos
ms, 23-07-2007
Última edición por msc hotline sat el 23 Jul 2007, 17:15, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
juaninho04
- Mensajes: 6
- Registrado: 21 Jul 2007, 23:50
calmado
disculpame pero d verdad q no entindo lo que quieres que t mande si yo supiera a q te refieres con esos terminos simplemente te lo mado y ya avia eliminado l plus como m abian dicho pero lo volvi a bajr e instalar y ya no tngo l virus muchas gracias
dime en q mas t puedo ayudar aora
dime en q mas t puedo ayudar aora
sigue estas rutas del archivo que buscas
C:\Documents and Settings\All Users\Datos de programa\locks dupe safe frag\wipe owns.exe
C:\DOCUME~1\ADMINI~1\DATOSD~1\KNOBMU~1\Remote Show.exe
y si no pon en inicio ----buscar----[b]show.exe[/b]
e inicio----buscar[b]owns.exe[/b]
cuando los encuentres los empaquetas con winrar y les pones como contraseña VIRUS, y en el mail titulas Ref. Juaninho04.
Eso para el envio, la clave que debes eliminar es lanzando de nuevo el hijackthis, cuando te sale el resultado , buscas la clave en cuestion, pero no en el bloc de notas, en la otra, la buscas por el numero , esta abajo normalmente, luego una vez la seleccionas le das a fix chequed que esta a la izda abajo y cuando te pregunte le das a yes.
El mesengerplus3 debes quitarlo pues solo por tenerlo estas a puesto a virus y demas.
Y en inico----mi pc-----C----infosat esta el resultado del elistara que quiero que nos pegues aqui con un copiar pegar para que podamos leerlo bien, espero que ahora te haya aclarado algo, si no es asi dilo.
Te recuerdo que cuando busques los archivos te fijes que la terminacion es .exe , si no es asi no es valido, bueno ve haciendo y nos cuentas tus progresos, saludos
C:\Documents and Settings\All Users\Datos de programa\locks dupe safe frag\wipe owns.exe
C:\DOCUME~1\ADMINI~1\DATOSD~1\KNOBMU~1\Remote Show.exe
y si no pon en inicio ----buscar----
e inicio----buscar
cuando los encuentres los empaquetas con winrar y les pones como contraseña VIRUS, y en el mail titulas Ref. Juaninho04.
Eso para el envio, la clave que debes eliminar es lanzando de nuevo el hijackthis, cuando te sale el resultado , buscas la clave en cuestion, pero no en el bloc de notas, en la otra, la buscas por el numero , esta abajo normalmente, luego una vez la seleccionas le das a fix chequed que esta a la izda abajo y cuando te pregunte le das a yes.
El mesengerplus3 debes quitarlo pues solo por tenerlo estas a puesto a virus y demas.
Y en inico----mi pc-----C----infosat esta el resultado del elistara que quiero que nos pegues aqui con un copiar pegar para que podamos leerlo bien, espero que ahora te haya aclarado algo, si no es asi dilo.
Te recuerdo que cuando busques los archivos te fijes que la terminacion es .exe , si no es asi no es valido, bueno ve haciendo y nos cuentas tus progresos, saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Y no estés tan seguro de que ya no tienes virue "ya no tngo l virus"... cuando hayamos analizado dichos ficheros igual te damos una sorpresa... :wink:
saludos
ms, 23-07-2007
saludos
ms, 23-07-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
juaninho04
- Mensajes: 6
- Registrado: 21 Jul 2007, 23:50
o siento
no ncontre ninguno d los q m dijeron algo mas?
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues mira que no esten con atributo de ocultos...
https://foros.zonavirus.com/viewtopic.php?f=5&t=13245
ms.
ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
juaninho04
- Mensajes: 6
- Registrado: 21 Jul 2007, 23:50
no nada
no d vdd
los busq d ambos modos y no ai ninguno d los dos
lo siento algo mas?
los busq d ambos modos y no ai ninguno d los dos
lo siento algo mas?
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues ya que no los encuentras, elimina estas claves:
O4 - HKLM\..\Run: [safefragmemolive] C:\Documents and Settings\All Users\Datos de programa\locks dupe safe frag\wipe owns.exe
O4 - HKCU\..\Run: [Deafpoll] C:\DOCUME~1\ADMINI~1\DATOSD~1\KNOBMU~1\Remote Show.exe
O23 - Service: Servicio de restauración de sistema (srservice) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
Y con ello ya queda solucionado el Tema y procedenmos a cerrarlo
saludos
ms, 24-07-2007
O4 - HKLM\..\Run: [safefragmemolive] C:\Documents and Settings\All Users\Datos de programa\locks dupe safe frag\wipe owns.exe
O4 - HKCU\..\Run: [Deafpoll] C:\DOCUME~1\ADMINI~1\DATOSD~1\KNOBMU~1\Remote Show.exe
O23 - Service: Servicio de restauración de sistema (srservice) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)
->
Y con ello ya queda solucionado el Tema y procedenmos a cerrarlo
saludos
ms, 24-07-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Ademas, se recibe muestra de fichero MSNWORM.EXE no controlado del malware celular, que pasamos a Controlar con el 14.48 del ELISTARA
A partir de las 16 h GMT estara disponible en esta web para pruebas de evaluacion
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 25-07-2007
saludos
ms, 15-07-2007
A partir de las 16 h GMT estara disponible en esta web para pruebas de evaluacion
ELISTARA:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 25-07-2007
saludos
ms, 15-07-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online