problemas con el msn y SDBOT.MH WORM en msnmsgr.exe

[baquero21]

Hola.



El problema comenzó con el msn, que dejo de funcionar y finalmente dejo de arrancar. La versión que venia usando es la "live msn". La versión anterior, en cambio, sigue arrancando pero cuando la minimizo desaparece de la barra de tareas

Además al arrancar la máquina en el administrador de tareas me figura dos veces la extensión msmmsgr.exe ejecutándose aunque yo no haya intentado abrir el programa. Intente desinstalar y reinstalar el programa pero no resultó. La Pc, en general anda un poco lenta, sobre todo en internet.





Ademas les comento que con el Spyboot encontre en la entrada "msnmsgr.exe" de inicio del sistema, que no aparecia ejecutando el msconfig, el "SDBOT.MH WORM"

Esta entrada la eliminé



Ademas aparecen otras 4 entradas que no se bien a que pertenecen:

Located: HK_LM:Run, IMJPMIG8.1 (DISABLED)

command: "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

file: C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE

size: 208952

MD5: 7bbe4cf421aecc7f0226edd75f12079f



Located: HK_LM:Run, MSPY2002 (DISABLED)

command: C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

file: C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe

size: 59392

MD5: 1b17e09c1223f6d17336d2dd7a1af4f4



Located: HK_LM:Run, PHIME2002A (DISABLED)

command: C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

file: C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

size: 455168

MD5: 024dc0f68df5fd6ae9dd82dfbaf479d6



Located: HK_LM:Run, PHIME2002ASync (DISABLED)

command: C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

file: C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

size: 455168

MD5: 024dc0f68df5fd6ae9dd82dfbaf479d6



Hasta ahora probè todo lo que conocía, Kasperisky y Panda online, CCleaner y Nod en modo a prueba de fallos, etc.





[b]Pego ahora el log del AVG[/b]



---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------



+ Creado en:

06:25:53 p.m. 14/08/2007



+ Resultado del análisis:







:mozilla.117:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.2o7 : Limpios.

:mozilla.89:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Adbrite : Limpios.

:mozilla.90:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Adbrite : Limpios.

:mozilla.91:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Adbrite : Limpios.

:mozilla.92:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Adbrite : Limpios.

:mozilla.93:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Adbrite : Limpios.

:mozilla.94:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Adbrite : Limpios.

:mozilla.95:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Adbrite : Limpios.

:mozilla.96:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Adbrite : Limpios.

:mozilla.97:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Adbrite : Limpios.

:mozilla.84:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Adengage : Limpios.

:mozilla.226:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Adtech : Limpios.

:mozilla.227:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Adtech : Limpios.

:mozilla.162:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Advertising : Limpios.

:mozilla.164:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Advertising : Limpios.

:mozilla.255:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Clickzs : Limpios.

:mozilla.256:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Clickzs : Limpios.

:mozilla.257:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Clickzs : Limpios.

:mozilla.163:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Doubleclick : Limpios.

:mozilla.235:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Fastclick : Limpios.

:mozilla.236:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Fastclick : Limpios.

:mozilla.237:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Fastclick : Limpios.

:mozilla.139:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Googleadservices : Limpios.

:mozilla.326:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Googleadservices : Limpios.

:mozilla.340:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Googleadservices : Limpios.

:mozilla.165:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Imrworldwide : Limpios.

:mozilla.166:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Imrworldwide : Limpios.

:mozilla.34:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Netflame : Limpios.

:mozilla.35:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Netflame : Limpios.

:mozilla.144:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Paypal : Limpios.

:mozilla.265:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Sexlist : Limpios.

:mozilla.82:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Specificclick : Limpios.

:mozilla.83:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Specificclick : Limpios.

:mozilla.85:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Specificclick : Limpios.

:mozilla.86:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Specificclick : Limpios.

:mozilla.100:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Statcounter : Limpios.

:mozilla.101:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Statcounter : Limpios.

:mozilla.102:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Statcounter : Limpios.

:mozilla.87:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Statcounter : Limpios.

:mozilla.88:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Statcounter : Limpios.

:mozilla.98:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Statcounter : Limpios.

:mozilla.99:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Statcounter : Limpios.

:mozilla.337:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Tribalfusion : Limpios.

:mozilla.320:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Webtrends : Limpios.

:mozilla.339:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Webtrendslive : Limpios.

:mozilla.293:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Yadro : Limpios.

:mozilla.177:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Yieldmanager : Limpios.

:mozilla.178:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Yieldmanager : Limpios.

:mozilla.179:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Yieldmanager : Limpios.

:mozilla.180:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Yieldmanager : Limpios.

:mozilla.181:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Yieldmanager : Limpios.

:mozilla.182:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Yieldmanager : Limpios.

:mozilla.229:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Zedo : Limpios.

:mozilla.230:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Zedo : Limpios.

:mozilla.231:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Zedo : Limpios.

:mozilla.232:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Zedo : Limpios.

:mozilla.234:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt -> TrackingCookie.Zedo : Limpios.





::Fin del informe









[b]Statinfo[/b]





Tue Aug 14 18:56:04 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Restaurado archivo de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE





Tue Aug 14 18:56:42 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Program Files\NewTech Infosystems\NTI Backup NOW! 4.5\PART32.DLL --> Eliminado, WinAntiVirus Pro 2006 (cpl)

C:\Program Files\Microsoft IntelliPoint 5.2\SETUPSTB.EXE --> Eliminado, WinAntiVirus Pro 2006 (BHO)

C:\Program Files\Microsoft IntelliPoint 5.2\IPoint\SETUP\Files\DPGMKB.DLL --> Eliminado, CommanderNET (TB)

C:\Program Files\Microsoft IntelliPoint\DPGMKB.DLL --> Eliminado, CommanderNET (TB)











[b]





Log hijack

[/b]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:22:36 p.m., on 14/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Acer\Empowering Technology\eLock\LockServ.exe

C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\Explorer.EXE

C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

C:\Program Files\Eset\nod32kui.exe

C:\PROGRA~1\LAUNCH~1\LManager.exe

C:\Acer\Empowering Technology\eLock\Monitor\LockMon.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://en.us.acer.yahoo.com/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: LockServ - Unknown owner - C:\Acer\Empowering Technology\eLock\LockServ.exe

O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Unknown owner - C:\Program Files\Norton AntiVirus\navapsvc.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O24 - Desktop Component 1: Taringa! - Inteligencia Colectiva - http://www.taringa.net/





Gracias y perdon por lo largo del mensaje, pero creí que era mejor contar lo mejor posible la situación.

[lucl]

Es mucho mejor bien explicadito, tienes un par de entradas



O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)



es alguna pagina de juego online? es decir tu sabes a que obedece? o no te suena de nada, si es asi eliminalas haciendo fix cheked en ellas, solo me queda decirte que pases de nuevo pero arrancando el pc en modo seguro elistara y complementes con elitriip. nos pegas el log, saludos



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp







http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



y esta otra entrada sabes a que programa pertenece?

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe



saludos

[baquero21]

Ni el elitriip, ni el ni el elistar, encontraron nada.



pego el log.



Wed Aug 15 16:46:20 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 15 16:46:22 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Aug 15 16:52:00 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 15 16:52:02 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\





---------------------------------------------------------

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

esta entrada es un programa de Acer que controla algunas funciones de teclado de la notebook.

Las otras dos que me marcaste ya la borre.

gracias

[Claudia34]

Y no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:



https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:



http://www.zonavirus.com/antivirus-on-line/

[baquero21]

Despues de pasar varios antivirus online, el unico que encuentra algo es el spyboot, en el inico del sistema.



Nombre del archivo actual: "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background



Estado de la base de datos: Innecesario - virus, software espía, maligno u otro tipo de programa consumidor de recursos

Valor: MsnMsgr

Nombre del archivo: MsnMsgrs.exe



Descripción

Added by the _NETSKY-AD_ WORM!



Fuente: Paul Collins Startup list





Estuve leyendo sobre el tema pero parece ser complicado de sacar.



Pegopor las dudas el informe de lo que encontró el ewido



__________________________________________________

ewido anti-spyware online scanner

http://www.ewido.net

__________________________________________________





Name: TrackingCookie.Netflame

Path: C:\Documents and Settings\Mariano\Cookies\mariano@ssl-hints.netflame[2].txt

Risk: Medium



Name: TrackingCookie.Webtrends

Path: :mozilla.11:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\coo kies.txt

Risk: Medium





y el informe de Kaspersky



-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER REPORT

Wednesday, August 15, 2007 9:44:08 PM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.93.0

Kaspersky Anti-Virus database last update: 16/08/2007

Kaspersky Anti-Virus database records: 381663

-------------------------------------------------------------------------------



Scan Settings:

Scan using the following antivirus database: extended

Scan Archives: true

Scan Mail Bases: true



Scan Target - My Computer:

C:\

D:\

E:\



Scan Statistics:

Total number of scanned objects: 71823

Number of viruses found: 0

Number of infected objects: 0

Number of suspicious objects: 0

Duration of the scan process: 00:42:57



Infected Object Name / Virus Name / Last Action

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\Media Ce.evt Object is locked skipped

C:\WINDOWS\system32\config\SYSTEM Object is locked skipped

C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped

C:\WINDOWS\system32\config\DEFAULT Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\CSC\00000001 Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Mariano\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Mariano\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Mariano\Local Settings\History\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Mariano\Local Settings\History\History.IE5\MSHist012007081520070 816\index.dat Object is locked skipped

C:\Documents and Settings\Mariano\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Mariano\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Mariano\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Mariano\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Mariano\UserData\index.dat Object is locked skipped



Scan process completed.





Saludos y gracias por la ayuda

[lucl]

Intenta acceder a este archivo



MsnMsgrs.exe





y subelo a virustotal que te lo analicen online, no siendo que este corrupto, nos comentas el resultado, saludos





http://www.virustotal.com

[baquero21]

Hola, el archivo msmmgrs.exe no lo encontre por otro lado el total scan encontro las siguientes amenazas



;***********************************************************************************************************************************************************************************

ANALYSIS: 2007-08-16 15:27:21

PROTECTIONS: 1

MALWARE: 2

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

ESET NOD32 antivirus system 2.70 2.70 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00034347 dialer.su Dialers No 0 Yes No hkey_local_machine\software\microsoft\windows\currentversion\uninstall\switch

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\WINDOWS\NIRCMD.EXE

;===================================================================================================================================================================================

SUSPECTS

Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================



el archivo NIRCMD.EXE no lo borre, pero lo analice en http://www.virustotal.com y me dio el siguiente reporte:



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2007.8.15.0 2007.08.16 -

AntiVir 7.4.1.62 2007.08.16 APPL/NirCmd.1

Authentium 4.93.8 2007.08.16 -

Avast 4.7.1029.0 2007.08.16 -

AVG 7.5.0.476 2007.08.16 -

BitDefender 7.2 2007.08.17 -

CAT-QuickHeal 9.00 2007.08.16 -

ClamAV 0.91 2007.08.16 -

DrWeb 4.33 2007.08.16 -

eSafe 7.0.15.0 2007.08.16 -

eTrust-Vet 31.1.5066 2007.08.17 -

Ewido 4.0 2007.08.16 -

FileAdvisor 1 2007.08.17 -

Fortinet 2.91.0.0 2007.08.16 -

F-Prot 4.3.2.48 2007.08.16 -

F-Secure 6.70.13030.0 2007.08.16 -

Ikarus T3.1.1.12 2007.08.16 -

Kaspersky 4.0.2.24 2007.08.17 -

McAfee 5099 2007.08.16 -

Microsoft 1.2803 2007.08.16 -

NOD32v2 2467 2007.08.16 -

Norman 5.80.02 2007.08.16 -

Panda 9.0.0.4 2007.08.16 Application/NirCmd.A

Prevx1 V2 2007.08.17 -

Rising 19.36.32.00 2007.08.16 -

Sophos 4.20.0 2007.08.12 NirCmd

Sunbelt 2.2.907.0 2007.08.17 -

Symantec 10 2007.08.17 -

TheHacker 6.1.8.170 2007.08.15 -

VBA32 3.12.2.2 2007.08.16 -

VirusBuster 4.3.26:9 2007.08.16 -

Webwasher-Gateway 6.0.1 2007.08.16 Riskware.NirCmd.1

Información adicional

Tama�o archivo: 51200 bytes

MD5: c1c4f864edf67dfda95b9819263e2939

SHA1: c5594412595c73e740cafaa4de4b55a4d489ad51



un archivo con el mismo nombre tamaño y fecha de modificacion aparece en c:/combofix/ parece estar infectado de la misma manera, el virustotal tira el mismo informe. El combofix, lo use por sugerencia de otro foro y no pude ejecutarlo correctamente. La clave del registro que aparece como infectada tampoco la borre, no estoy seguro de que hacer



gracias por el tiempo dedicado a mi caso.

[lucl]

pues si el combofix no lo utilizas deberias eliminarlo por completo, no siendo que no te funcionara ya entonces por estar corrupto, y el otro nircmd buscando informacion dicen que es una herramienta de hackting, asi que intenta eliminarlo arrancando el pc en modo seguro para asegurarnos de que se puede quitar, si no se deja renombralo a .vir para que no se ejecute de nuevo, lo mismo si aun siendo eliminado vuelve a generarse, nos cuentas tus avances, saludos

[baquero21]

Hola borre los archivos que me dijiste pero no cambio nada. Ademas hice otras cosas que me recomendaron.



Paso a hacer las descripciones resumidas del caso.



Al dar inicio al msn este desaparece, pero el administrador de tareas registra que el archivo msnmsgr.exe se esta ejecutando. A veces solo a veces doble, el primero pesa 19,000k el segundo 13,000K aprox.

Ademas con la instalación en inicio del sistema me aparece la siguiente entrada:



Nombre del archivo actual: "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background



EL único programa que tanto en modo comun como a prueba de fallos detecta un problema en esta entrada es el Spyboot.



Estado de la base de datos: Innecesario - virus, software espía, maligno u otro tipo de programa consumidor de recursos

Valor: MsnMsgr

Nombre del archivo: MsnMsgrs.exe



Descripción

Added by the _NETSKY-AD_ WORM!





en virustotal.com analice los siguientes archivos:



c:/program files/windos live/messenger/msiexec.exe

c:/program files/windos live/messenger/msnmsgr.exe

c:/windows/prefetch/msnsgr.exe-3744B6D8.pf

c:/windows/prefetch/msnsgr.exe-0EBDEBC56.pf

c:/program files/windos live/messenger/msvs.exe

C:\WINDOWS\system32/msiexec.exe

c:/program files/windos live/messenger/installer/dashboard.exe

c:/program files/windos live/messenger/installer/WlsetupSvc.exe

ningun error.



C:\WINDOWS\NIRCMD.EXE

Este fue un positivo relacionado con el Combofix. Fue Borrado.



Hasata ahora use los siguientes anti virus y spyware



Nod 32, Antivirus instalado de cabecera

AVG

Elistar

msncleaner

Elitrip

Combofix (este programa nunca llego a ejecutarse correctamente)

Dr web cureit

Spyboot

Super anti spyware



Ccleaner para limpiar temporales y errores de registro



Antivirus online:

Panda online scanner

Ewido (este prog. encontro un par de cookies infectadas pero ya no lo puedo ejecutar más)

Name: TrackingCookie.Netflame

Path: C:\Documents and Settings\Mariano\Cookies\mariano@ssl-hints.netflame[2].txt

Risk: Medium



Name: TrackingCookie.Webtrends

Path: :mozilla.11:C:\Documents and Settings\Mariano\Application Data\Mozilla\Firefox\Profiles\j0a8lgt5.default\cookies.txt

Risk: Medium

Nanoscann

Totalscann

y por último Kaspersky



en un momento el ccleaner encontró los sig errores de registro:

[img]http://www.i-imagehost.com/uploads/23183feacc.jpg[/img]



Supongo que todos relacionados con la desinstalacion del msn.





Ademas tampoco puedo reistalar el msn de los componentes originales de Windos, me figura que me faltan muchos archivos de c:/i386/ aunque estos archivos realmente existen en ese directorio, por ejemplo el ZNetM.dl etc. todos con la extención .dl Esto último no se si es relevante o que. Por las dudas los escane en virustotal, sin resultados negativos.

Realmente no estoy seguro si sería mejor darse por vencido, o pensar que no estoy infectado por un virus y es un error del spyboot y de windows.

Saludos

Gracias

[msc hotline sat]

Hay dos puntos a tener en cuenta:



Usas Mozilla, y no damos soporte al mismo, y si bien hay menos virus que le afecten respecto al I.E., los que los hay se esconden diferente y pueden no ser detectados...



Y parece que tienes instalados dos antivirus:



O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Unknown owner - C:\Program Files\Norton AntiVirus\navapsvc.exe (file missing)



O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe



Creo que el de Norton es un resto de una instalacion anterior, pero que persiste el servicio, y puede estar colisionando y causandote problemas.



Desisntalalo totalmente, y comprueba que desaparezca la clave indicada. Si quieres prueba su desinstalador:





NORTON REMOVAL TOOL:

http://norton-removal-tool.softonic.com/ie/43087





y nos cuentas el resultado, gracias



saludos



ms, 22-08-2007