AYUDA TENGO UN VIRUS DESCONOCIDO

[jaimenar]

buenas tardes:



primero que todo quiero agradecerles ya que sus trucos me han ayudado a tener mi computador bien protegido. SON LOS MEJORES.



la malA noticia es que lo vulneraron y no se como, ya que tengo a kasperski internet security 6.0 que confio mucho en el pero no se que le pasa a mi equipo



en general aparece un icono en forma de las alertas de seguridad de windows pero este aparece con un x y un ? alternativamente el cual dice en el globo que tengo una gran cantidad de malwares spyware y no se que cosas mas y al darle click me manda a esta pagina



http://www.virusprotectpro.com/?aff=1012



diciendo que debo descargar este raro antivirus el cual al instalarlo inmediatamente me detecta los virus sin hacer un escaner a mi pc raro no, y para poder desapareserlos necesito comprar la licencia.



NO SE QUE HACER



aqui les anexo el analisis con el ELISTARA con el ELIPAGE y hijackthis.



les agradezco mucho su colaboracion



saludos

[jaimenar]

buenas noches



solucione el problema con el spy bot search and destroy y el elistara ya mi pc recupero velocidad y se acabaron los mensajes de alerta



gracias lo solucione gracias a los links de antivirus que ustedes han posteado en la red ya que si viene de ustedes es confiable



saludos

[Claudia34]

Celebramos que hayas solucionado el problema, pero para futuro ten en cuenta en copiar y pegar el contenido del log y no tener que adjuntar el log como veo que esta hecho. Y mismo aunque se soluciono el problema peganos el log como corresponde a continuacion para que nosotros podamos verlo. Saludos.

[lucl]

hola jamenar, parece que no tienes solucionado el problema aún, en el log de elistara, el segundo te pedimos una muestra, ponlo en el foro con un copiar pegar, el log claro esta, y lo veras.



te pide esto



C:\Muestras\FSHQALN.DLL a "virus@satinfo.es". Gracias.



que debes enviarnos siguiendo las indicaciones del link



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



ademas si te atreves subelo a virus total, alli te lo analizaran y nos adelantara que puede ser



https://www.virustotal.com/es/



en cualquier caso nos comentas que es lo que haces finalmente y no te olvides peganos los log,

copiando el log de elistara todo junto, seguido, para que veamos los procesos saludos

[jaimenar]

Buenas noches:



seguire tus indicaciones y enviare la muestra al correo que me diero igual ustedes me dicen si corro el elistara nuevamente



aunque el computador trabaja bien siento que se demora un poquito en el arranque asi que de pronto se deba a este extraño virus



les cuento que aca en colombia anda un rumor de que hay un virus que destruye los archivos .doc de word esperemos que sea este para ya de una vez desaparecerlo de la fas de la red



muchas gracias

[jaimenar]

saludos



hice un chequeo con HJT y me salio el siguiente archivo plano de pronto por si acaso no tendre alguna clave maliciosa



Logfile of HijackThis v1.99.1

Scan saved at 08:56:13 p.m., on 11/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\keyhook.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\spoo1v.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\sistray.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.co

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.emcali.net.co:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Archivos de programa\Video ActiveX Access\iesplg.dll (file missing)

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Archivos de programa\DAP\DAPIEBar.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186789710250

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DBB8C9A8-136F-4793-83CF-24A1F800356C}: NameServer = 200.29.96.22,200.29.96.27

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Windows Management Prints System (spoo1v) - Unknown owner - C:\WINDOWS\SYSTEM32\spoo1v.exe







gracias.

[Claudia34]

Te falta pegar tambien los log del elistara y elitrip. Saludos.

[jaimenar]

saludos



caludia aqui posteo los resultados con el elistara y el elitrip a mi parecer estan limpios excepto por ese parche de windows que me solicitan



saludos y muchas gracias





Sun Aug 12 18:26:19 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Aug 12 18:35:35 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Aug 12 18:42:20 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Aug 12 18:46:28 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)



Sun Aug 12 18:46:38 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[lucl]

pues del hijackthis haz fix chequed en esta entrada



O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\



y trata de poner ese parche que te falta pues es muy importante, saludos

[jaimenar]

instale el parche y hice o que me dijiste



ahora si creo que el problema se soluciono



muchas gracias



esto sale en el estara qque creo que lo confirma





saludos son los mejores





Mon Aug 13 06:20:53 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Aug 13 06:20:54 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[lucl]

Bien , recuerda que aun tienes pendiente ese archivo, elistara te lo habra bloqueado para que no se ejecute mas pero falta ver que es y darte la cura... lo subiste a virustotal a ver si te daba virico? no nos comentaste.... dinos que hiciste y asi daremos el tema por solucionado o no, saludos

[msc hotline sat]

Ojo, que hay gato encerrado !!!:



C:\WINDOWS\system32\spoo1v.exe

en lugar de SPOOLV hay un "uno" en lugar de la "ele", asi que no es lo que se supone...



envianos dicho fichero para analizar, y de momento renombra su extension a .VIR para que tras reiniciar ya no entre en funcionamiento.





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y si quieres, subela al VirusTotal y nos informas del resultado del escaneo,



https://www.virustotal.com/es/



saludos



ms, 21-08-2007