Publicidad CID (SOLUCIONADO)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
titogelillo
Mensajes: 15
Registrado: 10 Feb 2007, 23:36

Publicidad CID (SOLUCIONADO)

Mensaje por titogelillo » 21 Sep 2007, 23:12

Hay va el log de hijackthis el log del elistara ya esta enviado al email.





Logfile of HijackThis v1.99.1

Scan saved at 23:16:44, on 21/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

K:\WINDOWS\System32\smss.exe

K:\WINDOWS\system32\winlogon.exe

K:\WINDOWS\system32\services.exe

K:\WINDOWS\system32\lsass.exe

K:\WINDOWS\system32\svchost.exe

K:\WINDOWS\System32\svchost.exe

K:\WINDOWS\system32\spoolsv.exe

K:\WINDOWS\Explorer.EXE

K:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe

K:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

K:\WINDOWS\system32\rundll32.exe

K:\Archivos de programa\DAEMON Tools\daemon.exe

K:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

K:\WINDOWS\system32\ctfmon.exe

K:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

K:\Archivos de programa\Rainlendar\Rainlendar.exe

K:\Archivos de programa\stickies\stickies.exe

K:\Archivos de programa\Internet Explorer\iexplore.exe

K:\Archivos de programa\Internet Explorer\iexplore.exe

K:\WINDOWS\system32\nvsvc32.exe

K:\WINDOWS\system32\PnkBstrA.exe

K:\WINDOWS\system32\svchost.exe

K:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe

K:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe

K:\WINDOWS\system32\vmnat.exe

K:\WINDOWS\system32\vmnetdhcp.exe

K:\Archivos de programa\Mozilla Firefox\firefox.exe

K:\Archivos de programa\MSN Messenger\usnsvc.exe

K:\Archivos de programa\MSN Messenger\livecall.exe

K:\Archivos de programa\Internet Explorer\iexplore.exe

K:\Documents and Settings\Administrador\Escritorio\Limpiar ordenador\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - K:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - K:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [SunJavaUpdateSched] "K:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [RemoteControl] "K:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] K:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE K:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [DAEMON Tools] "K:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [MsnMsgr] "K:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] K:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BitTorrent] "K:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [TaskSwitchXP] K:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [MODE OPTION] K:\DOCUME~1\ADMINI~1\DATOSD~1\INFOLO~1\funk joy.exe

O4 - HKCU\..\Run: [eMuleAutoStart] K:\Archivos de programa\eMule\emule.exe -AutoStart

O4 - Startup: Rainlendar.lnk = K:\Archivos de programa\Rainlendar\Rainlendar.exe

O4 - Startup: Stickies.lnk = K:\Archivos de programa\stickies\stickies.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://K:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - K:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - K:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - K:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://titogelillo.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://titogelillo.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - K:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - K:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - K:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - K:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - K:\Archivos de programa\SiSoftware\SiSoftware Sandra Pro Home 2007.SP1\Win32\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - K:\Archivos de programa\SiSoftware\SiSoftware Sandra Pro Home 2007.SP1\RpcSandraSrv.exe

O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - K:\Archivos de programa\VMware\VMware Workstation\vmware-ufad.exe" -d "K:\Archivos de programa\VMware\VMware Workstation\\" -s ufad-p2v.xml (file missing)

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - K:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - K:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - K:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - K:\WINDOWS\system32\vmnat.exe
Arriba
Avatar de Usuario
Claudia34
Mensajes: 1256
Registrado: 28 Feb 2007, 00:53

Mensaje por Claudia34 » 22 Sep 2007, 04:51

Y como solemos advertir a los que tienen el cid



Para todos los afectados por el CiD, lo primero será tratar de desinstalar el programa desde Inicio -> Panel de Control -> Agregar o Quitar programas , luego pasar el ELISTARA y por ultimo y en modo seguro, lanzar el HJT y postearnos el log resultante.



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.



Saludos.
Reglas para estar aunque sea un 40% mas seguro en internet: "navegar con usuario limitado, tener 1 antispyware, 1 cortafuegos (por hardware), 1 antivirus,1 IDS y 1 HIPS en la pc actualizados, realizar un escaneo semanalmente con 7 antivirus online, usar site advisor, informarse diariamente de los temas de seguridad informatica, deshabilitar algunos servicios innecesarios de windows xp, analizar los archivos con virus total antes de abrirlos, utilizar algunas herramientas antimalware y antirootkit gratuitas para escaneo semanalmente, tener un poco de paranoia al navegar por internet (no confiar casi en nadie), utilizar un navegador que no tenga muchos agujeros de seguridad, hacer una copia de seguridad de los datos regularmente, tener actualizados todos los softwares en la pc ademas del S.O., no dar datos privados al navegar, utilizar una fuerte y compleja contraseña para todos los usuarios en la pc, cambiar las contraseñas cada poco tiempo, utilizar elipen, etc., etc." .
Arriba
Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:
Contactar lucl

Mensaje por lucl » 22 Sep 2007, 10:12

Si no te entendi mal dices que enviaste el log de elistara, ese no has de enviarlo, has de copiarlo aqui y luego si pide muestra , nos la envias



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



ademas sigue las indicaciones de claudia y complementa pasando elitriip y nos pegas el log tambien, saludos



http://www.zonavirus.com/descargas/elitriip.asp
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 22 Sep 2007, 20:10

Sí, sigue estas instrucciones para envios y posteos, segun proceda:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



y envianos este fichero sospechoso para analizar:



K:\DOCUME~1\ADMINI~1\DATOSD~1\INFOLO~1\funk joy.exe



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 22-09-2007
Arriba
titogelillo
Mensajes: 15
Registrado: 10 Feb 2007, 23:36

Mensaje por titogelillo » 24 Sep 2007, 01:25

[quote="msc hotline sat"]Sí, sigue estas instrucciones para envios y posteos, segun proceda:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



y envianos este fichero sospechoso para analizar:



K:\DOCUME~1\ADMINI~1\DATOSD~1\INFOLO~1\funk joy.exe



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 22-09-2007[/quote]



Logfile of HijackThis v1.99.1

Scan saved at 1:26:09, on 24/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

K:\WINDOWS\System32\smss.exe

K:\WINDOWS\system32\winlogon.exe

K:\WINDOWS\system32\services.exe

K:\WINDOWS\system32\lsass.exe

K:\WINDOWS\system32\svchost.exe

K:\WINDOWS\system32\svchost.exe

K:\WINDOWS\Explorer.EXE

K:\Archivos de programa\Mozilla Firefox\firefox.exe

K:\Documents and Settings\Administrador\Escritorio\Limpiar ordenador\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - K:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - K:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [SunJavaUpdateSched] "K:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [RemoteControl] "K:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] K:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE K:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [DAEMON Tools] "K:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [MsnMsgr] "K:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] K:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BitTorrent] "K:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [TaskSwitchXP] K:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [eMuleAutoStart] K:\Archivos de programa\eMule\emule.exe -AutoStart

O4 - Startup: Rainlendar.lnk = K:\Archivos de programa\Rainlendar\Rainlendar.exe

O4 - Startup: Stickies.lnk = K:\Archivos de programa\stickies\stickies.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://K:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - K:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - K:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - K:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://titogelillo.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://titogelillo.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - K:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - K:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - K:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - K:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - K:\Archivos de programa\SiSoftware\SiSoftware Sandra Pro Home 2007.SP1\Win32\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - K:\Archivos de programa\SiSoftware\SiSoftware Sandra Pro Home 2007.SP1\RpcSandraSrv.exe

O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - K:\Archivos de programa\VMware\VMware Workstation\vmware-ufad.exe" -d "K:\Archivos de programa\VMware\VMware Workstation\" -s ufad-p2v.xml (file missing)

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - K:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - K:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - K:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - K:\WINDOWS\system32\vmnat.exe





Log Elistara y Elitrip:



Mon Sep 24 01:39:16 2007

EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Sep 24 01:39:19 2007

EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad K:\



Mon Sep 24 01:39:37 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 24 01:39:42 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad K:\

K:\Archivos de programa\Adverts\UNINST.EXE --> Eliminado, Swizzor(lop)

K:\Archivos de programa\Archivos comunes\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ

K:\Archivos de programa\Macromedia\Dreamweaver 8\Configuration\JSExtensions\SSITranslator.dll --> Eliminado, BackDoor.CMQ (dropper)

K:\Archivos de programa\Save\SAVE.EXE --> Eliminado, SaveNow

K:\Archivos de programa\Save\SAVEUNINST.EXE --> Eliminado, SaveNow

K:\Archivos de programa\VMware\VMware Workstation\pkg\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

K:\jdk1.1.6\bin\MATH_G.DLL --> Eliminado, Malware.ASPI
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 24 Sep 2007, 08:31

No se dijo que eliminaras el "funk joy.exe" , solo que nos lo enviaras para analizar ...



De todos modos lo mas probable es que fuera un swizzor, per otra vez no te pases y sigue las indicaciones, eliminando cosas sospechosas sin analizarlas, puedes tener problemas.



Espero que nos lo enviaras igualmente, y que resulte ser realmente un swizzor.



saludos



ms, 24.-09-2007
Arriba
Avatar de Usuario
elturko
Mensajes: 41
Registrado: 09 Ago 2007, 19:50

Mensaje por elturko » 28 Sep 2007, 00:41

Mira yo tuve el mismo problema, fijate si tenes instaldo el Msn plus. En panel de control / Agregar o quitar programas ---



Si lo tenes instaldo fijate que al lado del nombre ``msn plus´´ Va a decir entre parentesis CiD



Saludos.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 28 Sep 2007, 06:49

No, en el log del HJT no se ve instalacion del MSN PLUS. Si lo tenía ya se eliminó.



Y ya creo que podemos dar el Tema por solucionado y en consecuencia procedemos a cerrarlo



Si nos necesitas de nuevo , ya sabes donde estamos



saludos



ms, 28-09-2007
Arriba
Cerrado

Volver a “Foro Virus - Cuentanos tu problema”