AYUDA. FOTOS CELULAR!! (SOLUCIONADO)

Macoriginal · Mensaje por **Macoriginal** » 19 Ago 2007, 18:16

Hola, tengo desde ayer el "fotos celular", estuve buscando y probando muchas formas de sacarlo, entre ellas "elistara" y "elitrip" que en principio parecio solucionarlo, pero los archivos "fotos_celular.zip" y "fotos_celular.scr" se regeneran, y siguen enviandose, aparte de volver el sistema inestable, intente renombrar el "ntoskrnl" pero no se si lo hice bien. no encontre la carpeta DLLCACHE, y tampoco tengo la "pestaña" de la "restauracion automatica del sistema" asi que ese paso no pude completarlo. El NOD32 no detecta ningun archivo infectado, pero, una vez instalado el virus muestra un mensaje de alerte por "codigo malicioso" "win32/Rootkit.Odys.A(troyano) "suceso ocurrido al crear un nuevo archivo- se movio a la carpeta cuarentena" donde no tengo ningun tipo de opcion de limpieza. lo que me llamo la atencion (no recuerdo que haya estado antes) es que en el monitor de sistema ahora aparecen unos 7 "svchost.exe" y no se si eso es normal o si antes estaba asi, por ultimo hoy inicio la PC y tengo un cartel de "proteccion de archivos de windows" diciendome que se cambiaron algunos archivos (probablemente el ntoskrnl) y si quiero reemplazarlo (pero no tengo el cd de instalacion :x ),ahora les mando el log del elistara, y proximo paso es pasar el "hijacktis. ya les paso el log. en unos minutos. bueno, eso es en general lo que paso hasta ahora, cualquier info que necesiten, la piden , muchas gracias

Sat Aug 18 23:41:37 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MSNWORM.EXE.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSNWORM.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\SSVSCHOST.SYS --> Eliminado

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminado Servicio, "Oddysee"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Aug 18 23:49:49 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

Sat Aug 18 23:53:17 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Aug 18 23:56:54 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\CHAMBER.DLL --> Eliminado, Puper-Is (BHO)

E:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\ECHO.DLL --> Eliminado, Puper-Is (BHO)

E:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\FLANGER.DLL --> Eliminado, Puper-Is (BHO)

E:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\GRAPHICPHASE.DLL --> Eliminado, Puper-Is (BHO)

E:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\HARDLIMIT.DLL --> Eliminado, Puper-Is (BHO)

E:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\MULTITAP.DLL --> Eliminado, Puper-Is (BHO)

E:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\NOTCH.DLL --> Eliminado, Puper-Is (BHO)

E:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

Sat Aug 18 23:58:02 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Aug 19 00:28:59 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminado Servicio, "Oddysee"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Aug 19 00:29:32 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Aug 19 01:27:52 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminado Servicio, "Oddysee"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Aug 19 01:28:05 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Aug 19 01:31:04 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Sun Aug 19 01:48:26 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Sun Aug 19 01:48:35 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Aug 19 01:52:22 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminado Servicio, "Oddysee"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Aug 19 01:52:40 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Aug 19 03:50:48 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminado Servicio, "Oddysee"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Aug 19 03:51:02 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Aug 19 03:54:57 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Sun Aug 19 03:58:10 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Exploración Detenida por el Usuario.

Sun Aug 19 03:58:28 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Aug 19 04:30:42 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Aug 19 04:31:13 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sun Aug 19 04:31:19 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Aug 19 04:34:07 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\audition\Adobe Audition 2.0.exe --> Infectado, Bifrose (dropper)

E:\tune\TuneUp Utilities 2007 6.0.1256\KeyGen.exe --> Infectado, KeyGen.Bublic

ese "audition 2.0" no lo borre, digo.. es de un programa que uso.. que hago!?... gracais de nuevo

Macoriginal · Mensaje por **Macoriginal** » 19 Ago 2007, 18:26

aca les paso el log. otro detalle . si uso el "alt-tab" para pasar a otros programas o carpetas abiertas, se traba al instante la pc, respondiendo si logro apretar otra ventana. o algo que quite la clasica ventana de esa funcion

Logfile of HijackThis v1.99.1

Scan saved at 13:23:02, on 19/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Intel\IDU\awServ.exe

C:\WINDOWS\system32\dllcache\explorer.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaantmon.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\STacSV.exe

C:\Archivos de programa\Windows Defender\MSASCui.exe

C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaanotif.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\Archivos de programa\Viewpoint\Common\ViewpointService.exe

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\Archivos de programa\VibrateGameDeviceDriver\RFPIcon.exe

C:\Archivos de programa\CA-80U\ADSL\CnxDslTb1.exe

C:\Program Files\Intel\IDU\iptray.exe

C:\Archivos de programa\SPAMfighter\SFAgent.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\sttray.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Archivos de programa\Viewpoint\Viewpoint Manager\ViewMgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\ARCHIV~1\IDM\QUICKF~1\PlugIns\IEHelp.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [IAAnotif] "C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe

O4 - HKLM\..\Run: [RTBatteryMeter] C:\Archivos de programa\VibrateGameDeviceDriver\RFPIcon.exe

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [ipTray.exe] "C:\Program Files\Intel\IDU\iptray.exe"

O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Archivos de programa\SPAMfighter\SFAgent.exe" update delay 60

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] E:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=082507 serial=DR12CNC-4037331-ngv lang=ES

O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v4/vet_install_premium.pl?1&4&04.00.09.13&premium&unknown&http://www.toyota.com/vehicles/2007/avalon/key_features/ext360.html?noreloadredir

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqlar/downloads/sysinfo.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://macoriginal.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-AR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/ar/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://macoriginal.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BCFFEDF1-34E0-4759-BDE2-0D80164C67B7}: NameServer = 200.45.191.35 200.45.191.40

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Admin Works Agent X8 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Program Files\Intel\IDU\awServ.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Diskeeper - Diskeeper® Corporation - C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\STacSV.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Archivos de programa\Viewpoint\Common\ViewpointService.exe

Macoriginal · Mensaje por **Macoriginal** » 19 Ago 2007, 19:14

Bueno, luego del ultimo comentario, (se estaban bajando 2 actualizaciones de XP automaticamente) reinicie la pc y nunca mas volvio a iniciar windows, ni en modo normal, ni a prueba de fallos, incluso intente con la opcion de restaurar el sistema a la ultima copia buena conocida y .,. no pasa nada.. asi que.. no se en donde estoy parado, si en algo recuperable o en el cadaver de mi nueva PC.... :x :evil: :oops: .. que hago ahora.. intento llevar mi disco duro a que recuperen los datos importantes y formatear????... o todavia puedo hacer algo por esto....( y espero asi sea)..... muchas gracias de nuevo... :cry:

Mensaje por **lucl** » 19 Ago 2007, 21:16

hola tienes que enviarnos los archivos que te han dejado en C en una carpeta llamada muestras, para su analisis

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

ademas elistara te hizo una gran limpieza, y debes pasar de nuevo los dos programas arrancando el pc en modo seguro, y dejar que eliminen los archivos infectados directamente pues al elitriip no le has dejado y tienes dos archivos mas, hazlo y te mirare el log de hijackthis mientras, saludos

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

Macoriginal · Mensaje por **Macoriginal** » 19 Ago 2007, 21:25

Antes que nada, gracias por ayudarme en este problema... ahora.. se sumo otro, y es que no puedo entrar mas a windows........ no se que puede haber pasado. pero arranca la pc y entra a las opciones de arranque "modo seguro" "..seguro con func. de red" etc etc.. ".. ultima config. buena conocida.." y "iniciar normalemnte".. y ninguna logra que arranque windows................... tengo alguna forma alternativa para entrar y correr "elistara" y "elitriip"?........ gracias..

Macoriginal · Mensaje por **Macoriginal** » 19 Ago 2007, 21:32

Perdon, no aclare, ya mande los 2 archivos que pide el "alistara", lo hice la primera vez que lo pase, (cuando todavia funcionaba mi pc)

Mensaje por **lucl** » 19 Ago 2007, 21:40

si, esos los vi, pero algo mas debe tener tu pc pues le hicieron una buena limpieza, piensa en si puede ser algo de hardware y si no es asi , piensa en reparar para no perder los programas y documentos que tengas, eso no es la solucion definitiva desde luego si es cosa virica pero al menos nos dara tiempo

Es posible que tenga dañado algun ejecutable o DLL del sistema, por lo cual sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

saludos

Macoriginal · Mensaje por **Macoriginal** » 19 Ago 2007, 21:55

... Veo dificil que sea algun problema de hardware, no creo....... lo unico que hice que me hace pensar que puede haber dañado algo fue tratar de renombrar el archivo "ntoskrnl" un par de veces.. cosa que no se si hice bien.. pero eso fue anoche y reinicie unas cuantas veces y seguia andando todo "bien". esta mañana aparecio un cartel de windows diciendome algo asi como que se habian modificados archivos de windows y que debian ser reemplazados.. pero no tengo cd de instalacion ( ahora busco uno) y el tema con elistara. es que . si.. al parecer hace toda la limpieza.. pero a los minutos. vuelven a aparecer los archivos "foto_celular" en C:...ahora trato de hacer la recuperacion y comunico resultados. .. gracias

tech00 · Mensaje por **tech00** » 19 Ago 2007, 22:23

Hola adjuntando Datos, respecto al problema, respecto a que ya no inicia windows, sucede que el elistara elimina un fichero llamado ntoskrnl.exe que es vital para el arranque, y debido a que esta infectado, lo elimina y el sistema no es capaz de iniciar correctamente, solo inicia y pasa a cerrando sesion y lo hace en ciclo , una forma de solucionarlo es que puedes tomarlo de cualquier maquina con windows de tu version buscalo en C:\WINDOWS\system32\ con este nombre ntoskrnl.exe o monta el disco en otra pc y copialo desde ahi al disco de tu maquina, otra manera es con un disco de arranque o un CDLIVE o la mas tardada es la que te proponen de usar reparacion de windows desde el cd de instalacion. Curiosamente es una variante del foto celular que a mi personalmente me dio mucha lata, y que no es muy comun a las versiones que rondan normalmente.

Macoriginal · Mensaje por **Macoriginal** » 19 Ago 2007, 22:34

Entiendo, pero este njo se si es el mismo caso, porque pase varias veces el "elistara", se puede ver en el log. y reinicie la pc unas cuantas veces luego de eso. y nunca paso nada malo, esto sucedio a partir de hoy, lo que intento decir es que de ser un problema del archivo ntoskrnl eliminado, hubiera tenido este problema desde la primera "reiniciada", al menos eso creo, por otro lado luego de pasar "elistara" yo me encarue de buscar el ntoskrnl y cambiarle el nombre en un par de oportunidades, y maneras distintas, pero que al instante volvia a aparecer, y reitero. reiniciando la pc seguia funcinando todo, lo que paso antes de que dejara de responder fue qeu se instalaron 2 actualizaciones de seguridad de Wxp. y me pidio reiniciar ( no lo hice inmediatamente porque estaba escribiendo en este foro) y al hacerlo... bueno. lo que ya saben... ahora tengo el cd de W ue.. pero no se como hacerlo arrancar :? . si no tengo SO.. y no se si es booteable.......en fin.. vuelvo a la lucha.. gracias

Mensaje por **lucl** » 20 Ago 2007, 08:39

inserta el cd y reinicia el pc cuando empieze te dira pulse cualqier tecla, luego te sale un menu le das a instalar debes buscar la particion que tu tienes y la seleccionas y alli eliges reparar, y continuas, nos comentas, saludos

Mensaje por **msc hotline sat** » 20 Ago 2007, 11:20

Efectivamente, es una de las maneras de restaiurar el NTOSKRNL, segun ya indicamos para este caso en otros Temas al respecto:

[quote="Para el "fotos_celular, msc"]

Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:

Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.

Con lo indicado es suficiente para la primera variante, pero:

______________

En alguna nueva variante vemos paralelamente el BIFROSE, posiblemente descargado por dicho virus, para lo que disponemos del ELITRIIP que se puede probar si persiste el problema:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

______________

Si con lo indicado no ha sido suficiente, conocemos otras variantes que utilizan, además, otros ficheros , de los que hemos pedido muestra para controlarlos e implementar su control y eliminacion en el ELISTARA, pero mientras, procederemos manualmente a buscar y renombrar a extension .VIR los siguientes ficheros (y enviarnos muestras de ellos !!!) :

SVSCHOST.EXE (no SVCHOST.EXE, cuidado)

STARTING.EXE (que al estar en DLLCACHE, puede estar en mas sitios)

buscarlos con Inicio -> Buscar -> en todas las carpetas y ficheros, y proceder con ello, ademas de lo indicado en la primera parte, básico para todos.

Conste que este SVSCHOST.EXE ya controlamos el de la primera variante, pero por lo visto los hay diferentes en las nuevas, y, junto con el STARTING.EXE, es lo que nos queda por controlar automaticamente, y que si nos enviais las muestras solicitadas, lo implementaremos en las siguientes versiones del ELISTARA:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[/quote]

saludos

ms, 20-08-2007

Macoriginal · Mensaje por **Macoriginal** » 21 Ago 2007, 06:44

Bueno.. muchas gracias por su ayuda y tiempo, pero el virus me gano, tuve que hacer una instalacion paralela, recurperar los datos importantes y formatear. ahora estoy volviendo a normalizar todo, con algo de bronca, pero evidentemente algo paso en mi caso, no encontre a nadie que les haya pasado algo parecido, en fin.. ahroa tengo un cartel que me aparece al iniciar la pc diciendo "El sistema de fechas no es valido. Verifique/modifique la configuracion de fecha en su ordenador" .. no se de donde sale eso.. empezo hace un rato.. todavia no busque en otro lugar, pero me conecte a agradecerles y de paso preguntar. quizas es algo facil que puedan decirme.. muchas gracias por la ayuda

Mensaje por **msc hotline sat** » 21 Ago 2007, 06:53

Pues no creo que siguiera lo que le indicabamos de REPARAR el sistema:

"y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate "

pero entiendo que los nervios le jugaron una mala pasada...

Ahora parece que tenga mal configurada la fecha, quizas por entrar los parametros al reves... (el standar americano es diferente del nuestro)

compruebelo y fijese en las letras dd-aa-mm y poga respectivamente el dia, año y mes o como proceda segun le indique.

saludos

ms, 21-08-2007

Macoriginal · Mensaje por **Macoriginal** » 21 Ago 2007, 17:00

No, claro que intente reparar pero me prestaron un Windows uE y este no tiene esta opcion, quizas deberia haber aprovechado para copiar de esta instalacion estos archivos y pegarlos en el viejo win. pero este tipo de trabajo de artesania no me convencia para el buen funcionamiento posterior, aparte que hubiera tenido 2 instalaciones (no se si se puede quitar uno, pense en esa opcion pero no encontre nada que me indicara que podia hacerlo), por otro lado lo que me importaba en realidad era recuperar los archivos importantes, el formateado era cosa de minutos.(aclaro que fue mi ultima opcion) el tema es que ya esta hecho.

Por otro lado, revise todas las horas, bios, y la de windows, y estaban bien, lo que no me habia dado cuenta era que estaba con un dia de retraso, lo cambie y esta mañana inicio sin problemas, lo que tengo que revisar es el hecho de que creo que a veces la hora se cambia sola, no se si sera falta de pilas en la placa madre o algo con el servicio de hora de microsoft, tengo que estar atento a eso, hasta el momento no lo hice. los mantengo al tanto si les parece, aunque ya es un tema menor, reitero mi agradecimiento para todos

Mensaje por **lucl** » 21 Ago 2007, 17:14

si, presta atencion a eso y si necesitas algo nos lo dices, de momento daremos el tema por solucionado si te parece bien, gracias saludos

SOLUCIONADO

Macoriginal · Mensaje por **Macoriginal** » 21 Ago 2007, 19:38

Si, aunque en este caso se podria decir qeu gano el virus, pude volver a la normalidad, asi que.. esta bien.. (SOLUCIONADO)

Mensaje por **msc hotline sat** » 22 Ago 2007, 08:03

Pero recuerde que esto le pasó por no disponer del sistema operativo original en el CD de instalacion y poder REPARAR normalmente como le indicabamos...

Bien, pues dando el Tema por solucionado, procedenmos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 22-08-2007

AYUDA. FOTOS CELULAR!! (SOLUCIONADO)

AYUDA. FOTOS CELULAR!! (SOLUCIONADO)

Hijacktis

Ya ni pc