Win32:Small-EPJ [Trj]... AYUDA!!

krl_stone · Mensaje por **krl_stone** » 10 Sep 2007, 11:38

no c nada sobre virus... solo tngo el avast y pensaba que era bueno, ya que 100pre se actualiza solo y etc... pero ahora me pasaron un archivo por messenger diciendo de que viera unas fotos... y cuando lo abri no dejaba (yo) de mandarle a todos mis contactos el mismo archivo y dspues ellos tambien se infectaron con eso... ahora mi computadora se apaga sola y el avast me dice ke tngo virus... tambien dice sobre un archivo que no encuentra "ip6fw.sys"... en vrdd necesito ayuda!! mi computadora es casi casi nueva... un par de meses tiene... ='( gracias por su apollo!!

Claudia34 · Mensaje por **Claudia34** » 10 Sep 2007, 13:12

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt

http://www.zonavirus.com/descargas/elitriip.asp

Y compleméntalo posteándonos el Log del HJT:

HJT: (HiJackThis)

¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

Opcional:

Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.

Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/

https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Saludos.

krl_stone · Mensaje por **krl_stone** » 12 Sep 2007, 04:22

como lanzo a prueba d fallos!?

Mensaje por **lucl** » 12 Sep 2007, 08:02

aqui en este link te indicamos como, saludos

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

krl_stone · Mensaje por **krl_stone** » 12 Sep 2007, 08:37

hice lo ke me dijeron arriba... aqui les dejo los archivos que me pidieron menos el de HijackThis con modo a prueba de fallos... tambien les paso unos nombres de "archivos" que mi antivirus detecta como "Win32:Small-EPJ [Trj]" ~~[b]~~TROYANO...[/b]

http://616959.ds.nac.net/s_91_3232235788?m=3&a=1&r=1&hdd=2020202057202d444d574d414539355038383037&gen=10&os=940000000500000001000000280a00000200000053657276696365205061636b2032

http://62.72.1243.static.theplanet.com/s_91_3232235788?m=3&a=1&r=1&hdd=2020202057202d444d574d414539355038383037&gen=10&os=940000000500000001000000280a00000200000053657276696365205061636b2032

http://208.66.194.241/s_91_3232235788?m=3&a=1&r=1&hdd=2020202057202d444d574d414539355038383037&gen=10&os=940000000500000001000000280a00000200000053657276696365205061636b2032

http://616957.ds.nac.net/s_91_3232235788?m=3&a=1&r=1&hdd=2020202057202d444d574d414539355038383037&gen=10&os=940000000500000001000000280a00000200000053657276696365205061636b2032

http://221041.ds.nac.net/s_91_3232235788?m=3&a=1&r=1&hdd=2020202057202d444d574d414539355038383037&gen=10&os=940000000500000001000000280a00000200000053657276696365205061636b2032

esos "archivos" que mas me parecen links, son los que mi antivirus (avast) detecta cada 5 segundos (sin exagerar)

ayudnme x favor!!

Mensaje por **lucl** » 12 Sep 2007, 08:41

para otra vez nos pegas los logs mejor que de este modo pierden estructura y no se leen bien, aun asi se ve que te ha dejado varios archivos en la carpeta muestras en C, envianoslos para su analisis

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

ademas te pide que instales elinotif, metelo en una carpeta con el elistara ya que son complementarios, una vez juntos ejecuta elistara y reinicia el pc , nos pegas el log de nuevo, saludos

http://www.zonavirus.com/descargas/elinotif.asp

krl_stone · Mensaje por **krl_stone** » 12 Sep 2007, 08:55

no entndi eso d "analicis"... soy nuevo aqui y los terminos me resultan dificiles d comprender... :( comprencion por favor... no todos somos tan pro como ustds ;)

krl_stone · Mensaje por **krl_stone** » 12 Sep 2007, 09:45

m baje el archivo ke me dijiste... pero no c "instala" es un DLL :S lo puse en la misma carpeta dl otro programa y nada m lo sigue pidiendo...

otra cosa, ese programa (no recuerdo el nombre) cn el que tngo que juntar el DLL m dice ke tngo un "downloader.conhook"

no entiendo ke es eso... osea c ke es virus... pero ke hago... por favor no kiero perder la info de mi compu...

Mensaje por **lucl** » 12 Sep 2007, 10:37

sigue las indicaciones del link para el elinotif

https://foros.zonavirus.com/viewtopic.php?f=5&t=18469

y te pedi que enviaras los archivos que tienes en la carpeta muestras para que lo analicen los expertos, si no lo has echo ya, hazlo y te daremos la herramienta necesaria para tu caso, saludos

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Mensaje por **msc hotline sat** » 12 Sep 2007, 11:37

Es importante que nos postees, con un copiar y pegar, el resultado de los procesos:

https://foros.zonavirus.com/viewtopic.php?f=1&t=17488

Asi podremos verlos y ayudarte...

gracias

saludos

ms, 12-09-2007

krl_stone · Mensaje por **krl_stone** » 13 Sep 2007, 06:03

[quote="lucl"]sigue las indicaciones del link para el elinotif

https://foros.zonavirus.com/viewtopic.php?f=5&t=18469

y te pedi que enviaras los archivos que tienes en la carpeta muestras para que lo analicen los expertos, si no lo has echo ya, hazlo y te daremos la herramienta necesaria para tu caso, saludos

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334[/quote]

no entiendo nada de lo que dice en ese link... me baje los 2 archivos en la misma carpeta, reinicie e igual me pide el DLL y no entiendo por que si ya lo tngo en la misma carpeta!!

no entiendo nada de lo que quiere decir en ese link :S

Mensaje por **msc hotline sat** » 13 Sep 2007, 12:35

Posiblemente tengas varios ELISTARA en diferentes carpetas...

Veamos el log del HJT a ver si lo vemos y lo arreglamos:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 13-09-2007

nota:

y sobre lo que dices de que algo detecta el ConHook en el elistara, SE DEBE TRATAR DE UN FALSO POSITIVO del antivirus que usas. Desactiva tu antivirus cuando pruebes el ELISTARA

ms.

krl_stone · Mensaje por **krl_stone** » 14 Sep 2007, 04:34

Logfile of HijackThis v1.99.1

Scan saved at 09:33:10 p.m., on 13/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Tablet.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\tsnpstd3.exe

C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe

C:\WINDOWS\vsnpstd3.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe

C:\Archivos de programa\QuickTime\QTTask.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Webcam Recorder\ml20gui.exe

C:\Documents and Settings\Carlos Caceres\Escritorio\Elite MSN Anti Spy 1.4(http://www.PortalMes.com).exe

C:\Archivos de programa\ViOrb\ViOrb.exe

C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\WTablet\TabUserW.exe

C:\WINDOWS\BricoPacks\Longhorn Inspirat\ObjectDock\ObjectDock.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\Acrobat.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 66.232.98.113 L2authd.lineage2.com

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe

O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\ARCHIV~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [LClock] C:\Archivos de programa\LClock\LClock.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Windows Services Registry] C:\WINDOWS\system\services.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Salestart] "C:\Archivos de programa\Archivos comunes\WinAntiVirus Pro 2007\mav_startupmon.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MSN Webcam Recorder] "C:\Archivos de programa\MSN Webcam Recorder\ml20gui.exe" -silent

O4 - HKCU\..\Run: [Elite MSN Anti Spy V1.4] C:\Documents and Settings\Carlos Caceres\Escritorio\Elite MSN Anti Spy 1.4(http://www.PortalMes.com).exe

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_7

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKCU\..\Run: [ViOrb] C:\Archivos de programa\ViOrb\ViOrb.exe

O4 - HKCU\..\Run: [LClock] C:\Archivos de programa\LClock\LClock.exe

O4 - HKCU\..\Run: [Vista Sidebar] C:\Archivos de programa\Vista Sidebar\sidebar.exe

O4 - HKCU\..\Run: [ViStart] C:\Archivos de programa\ViStart\ViStart.exe

O4 - HKCU\..\Run: [VisualTooltip] C:\Archivos de programa\VisualTooltip\VisualToolTip.exe

O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"

O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Longhorn Inspirat\ObjectDock\ObjectDock.exe

O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Longhorn Inspirat\YzToolBar\YzToolBar.exe

O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe

O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm480YYPE

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by24fd.bay24.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows/Initial/VideoEggPublisher.exe

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5115/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3A6B25A0-0073-42CA-AEF5-9A82B6918AA9}: NameServer = 200.48.225.130,200.48.225.146

O17 - HKLM\System\CS1\Services\Tcpip\..\{3A6B25A0-0073-42CA-AEF5-9A82B6918AA9}: NameServer = 200.48.225.130,200.48.225.146

O17 - HKLM\System\CS2\Services\Tcpip\..\{3A6B25A0-0073-42CA-AEF5-9A82B6918AA9}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Archivos de programa\Windows Live\installer\WLSetupSvc.exe

******************************************

ok, esto es lo que me pidieron... ayudenme por favor... no quiero formatear mi compu!! tengo muchas cosas d mucha importancia...

gracias.

Mensaje por **msc hotline sat** » 14 Sep 2007, 07:34

Bueno, pues vemos que recibiste el img_0024.zip, ya que tienes instalado este lsass malware : C:\WINDOWS\system\services.exe

Prueba estas dos utilidades, ELITRIIP y ELISTARA y al tras ello nos posteas el contenido del log resultante, con un copiar y pegar, como se indica al final:

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y tras ello, lanza el HJT y si queda alguna de estas claves, eliminalas:

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm480YYPE

O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows/Initial/VideoEggPublisher.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y envianos estos ficheros para analizar, si no los ha eliminado las utilidades que te hemos indicado:

C:\WINDOWS\system\services.exe

C:\Archivos de programa\Archivos comunes\WinAntiVirus Pro 2007\mav_startupmon.exe"

C:\Archivos de programa\ViOrb\ViOrb.exe

No te confundas con el lsass del sistema que está en C:\windows\system32\ , este es bueno !

saludos

ms, 14-09-2007

krl_stone · Mensaje por **krl_stone** » 15 Sep 2007, 17:50

hice lo del elitrip y el elistara y el hijackthis... pero que ficheros envio!? o_O'

Mensaje por **msc hotline sat** » 15 Sep 2007, 19:38

Para los ELI... Te decimos:

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y para el log del HJT, lo mismo, posteanos el hijackthis.log resultanet, todo ello con un copiar y pegar de su contenido:

https://foros.zonavirus.com/viewtopic.php?f=1&t=17488

saludos

ms, 15-09-2007

Win32:Small-EPJ [Trj]... AYUDA!!

Win32:Small-EPJ [Trj]... AYUDA!!

mhmhmh no entiendo

ayudaaaaaaaaaaa

keeeeeeeee

ahora?!?!?!

ehmmm

rspuesta dl hijackthis