Virus por el msn (SOLUCIONADO)

lola · Mensaje por **lola** » 01 Oct 2007, 13:09

Hola,

Acabo de aceptar sin querer un archivo zip. por el messenger que decia ser unas fotos de un contacto, encima he ejecutado un exe... :?

Alguién me puede ayudar?

Como no sabia lo que hacer he pasado el Hijackdisk, pero no se lo que debo hacer.

Os dejo el resultado por si acaso.

Gracias por vuestra ayuda.

Logfile of HijackThis v1.99.1

Scan saved at 13:05:33, on 01/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:

C:\WINDOWS2\System32\smss.exe

C:\WINDOWS2\system32\winlogon.exe

C:\WINDOWS2\system32\services.exe

C:\WINDOWS2\system32\lsass.exe

C:\WINDOWS2\system32\svchost.exe

C:\WINDOWS2\System32\svchost.exe

C:\WINDOWS2\system32\spoolsv.exe

C:\WINDOWS2\Explorer.EXE

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\WINDOWS2\system32\RunDll32.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\WINDOWS2\system32\rundll32.exe

C:\WINDOWS2\system32\ctfmon.exe

C:\WINDOWS2\system32\dllcache\jucheck.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\WINDOWS2\system32\dllcache\jucheck.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS2\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS2\system32\NeroCheck.exe

O4 - HKLM\..\Run: [jucheck] C:\WINDOWS2\system32\dllcache\jucheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS2\system32\ctfmon.exe

O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [DW4] "C:\Archivos de programa\The Weather Channel FW\Desktop Weather\DesktopWeather.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS2\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS2\system32\WPDShServiceObj.dll

O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\Andrea\CONFIG~1\Temp\hpdj.exe (file missing)

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

lola · Mensaje por **lola** » 01 Oct 2007, 13:50

Hola de nuevo, se me habia olbidado una cosa:

También he desactivado el restaurar el sistema.... :roll:

Lo he leído por ahí... a ver si es correcto.. :oops:

Mensaje por **lucl** » 01 Oct 2007, 13:52

de momento pasa elistara , del que te dejo link, y lo de restaurar sistema es para pasar el antivirus, pero no hace falta para elistara, cuando lo pases nos pegas el log que te dejara en C infosat.txt saludos

http://www.zonavirus.com/descargas/elistara.asp

lola · Mensaje por **lola** » 01 Oct 2007, 13:53

Gracias lucl, voy a ello!!

Mensaje por **msc hotline sat** » 01 Oct 2007, 15:06

Y envianos este fichero para analizar, pues se o no causado por el que adexta a este Tema, es tambien sospechoso:

C:\WINDOWS2\system32\dllcache\jucheck.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 1-10-2007

nota: informacion del sospechoso

http://www.symantec.com/security_response/writeup.jsp?docid=2007-092816-1332-99&tabid=2

ms.

lola · Mensaje por **lola** » 01 Oct 2007, 18:24

Aqui esta lo del elistara:

Thu Jan 25 12:50:43 2007

EliStartPage v13.17 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"

Thu Jan 25 12:51:59 2007

EliStartPage v13.17 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Thu Jan 25 12:52:10 2007

EliStartPage v13.17 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\BSPLAYER137.826.EXE --> AutoExtraible

C:\Archivos de programa\LimeWire\LIMEWIREWIN.EXE --> AutoExtraible

C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Webteh\BSplayer\UNINSTALL.EXE --> AutoExtraible

Thu Mar 08 17:36:51 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Mar 08 17:37:22 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\BSPLAYER137.826.EXE --> AutoExtraible

C:\Archivos de programa\LimeWire\LIMEWIREWIN.EXE --> AutoExtraible

C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Webteh\BSplayer\UNINSTALL.EXE --> AutoExtraible

Tue May 15 11:53:36 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue May 15 11:55:01 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

Tue May 15 12:11:55 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Wed May 16 11:10:19 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed May 16 11:10:52 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu May 17 09:17:30 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Oct 01 13:55:33 2007

EliStartPage v14.73 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Oct 01 13:55:45 2007

EliStartPage v14.73 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ

Voy a mirar lo del fichero..

MUCHAS GRACIAS

Mensaje por **msc hotline sat** » 01 Oct 2007, 18:30

A pesar de lo detectado y eliminado por el ELISTARA, envianos el fichero que te pdiamos para analizar:

C:\WINDOWS2\system32\dllcache\jucheck.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Y si recordaras el fichero que te llegó por meseenger, mejor que mejor, dinoslo y si lo tuvieras envianoslo tambien, gracias

saludos

ms, 1-10-2007

lola · Mensaje por **lola** » 01 Oct 2007, 18:43

Hola,

No encuentro esto:

C:\WINDOWS2\system32\dllcache\jucheck.exe

He estado buscandolo y nada, he usado el metodo de busqueda y tampoco, solo llega hasta el system32, luego ni rastro de: "dllcache" ni de "jucheck.exe"

Gracias, espero respuesta, puesto no para de enviarse a contactos del messenger lo que me han enviado a mi.. :(

lola · Mensaje por **lola** » 01 Oct 2007, 18:43

Hola,

No encuentro esto:

C:\WINDOWS2\system32\dllcache\jucheck.exe

He estado buscandolo y nada, he usado el metodo de busqueda y tampoco, solo llega hasta el system32, luego ni rastro de: "dllcache" ni de "jucheck.exe"

Gracias, espero respuesta, puesto no para de enviarse a contactos del messenger lo que me han enviado a mi.. :(

lola · Mensaje por **lola** » 01 Oct 2007, 18:48

El fichero se llamaba "picts1802" si no recuerdo malera un zip.

Mensaje por **msc hotline sat** » 01 Oct 2007, 18:56

Del fichero indicado no hay datos en internet...

Y fijate que el que te pedimos cuelga de c:\windows2, no de c:\windows, pues parece que el sistema en este equipo lo tienes en c:\windows2

Si no nos puedes enviar el primero o el segundo, si sus contactos dicen recibir un fichero suyo, que se lo envien y nos lo reenvia, gracias

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 1-10-2007

lola · Mensaje por **lola** » 01 Oct 2007, 19:12

De acuerdo, esperaré a que uno de mis contactos me lo diga, porque he buscado en windows2 desde el primer momento y nada...

Gracias y en breve me pongo en contacto con vosotros.

Saludos,

Lola

Mensaje por **flacoroo** » 01 Oct 2007, 19:23

hola quizas este oculto el archivo, haz lo siguiente para ver si lo puedes encontrar, habre el explorador de windows, herramientas, opciones de carpeta, en la pestaña ver, debes habilitar en el apartado de archivos y carpetas ocultas: mostrar todo y despues deshabilitar las siguientes opciones, ocultar archivos protegidos del sistema operativo y tratas de buscar el archivo en cuestion, ya despues lo regresas a como estaba excepto la primera que te dije....

nos dices como te fue.....

lola · Mensaje por **lola** » 02 Oct 2007, 09:45

Buenos días,

Gracias flacoroo! Eres un genio! Se ha habilitado la carpetta dllcache, pero sin embargo, no hay rastro del tal "jucheck.exe".

Hay un monton de .exe pero ninguno con ese nombre...

Que debo hacer?

GRACIAS!!

Mensaje por **msc hotline sat** » 02 Oct 2007, 11:32

Y del otro, que es mas propio del MSN, el "picts1802", habilitando ver fichero ocultos, mira si lo encuentras y si es asi, envianoslo para analizar

Dandole vueltas con nombres parecidos, hay estos informes:

http://www.google.es/search?hl=es&rls=GGLD%2CGGLD%3A2003-51%2CGGLD%3Aes&q=%22pics+1802%22+virus&meta=

pero no son significativos, veamos las muestras y procederemos

saludos

ms, 2-10-2007

lola · Mensaje por **lola** » 02 Oct 2007, 11:45

Pues ni rastro...

Lo más parecido es "ping6" y no me suena.

He ampliado la búsqueda a la C: y me aparece uno en:

windows2/prefecth/juchek.exe

Luego me salen 4 pero con el simbolito del java, no es un exe creo.

Y luego tengo 2 mas sospechosos en una carepta llamada: bin, de la cual no pone ubicación.

Os mando algo??

Mensaje por **msc hotline sat** » 02 Oct 2007, 11:48

No, los prefecth son lanzadores, no nos valen.

Y de ping no es propio de MSN, estos juegan con envio de fotos, y son propias las palabras JPG, img, pic, etc.

Si no lo encuentras, cuando lo encuentres, ya sabes, y sino a esperar que nos lo mande alguien

saludos

ms, 2-10-2007

lola · Mensaje por **lola** » 02 Oct 2007, 11:59

msc hotline sat!!!!!

msc hotline sat!!!

Los he encontrado!! están en windows2, allí mismo, tengo varios!

No me los deja mandar porque pone que contiene un virus desconocido y que por seguridad no deja enviar!!

Son .zip:

pics0250

pics0608

pics1802

pics1877

pics2126

QUE HAGO?? :?:

Mensaje por **msc hotline sat** » 02 Oct 2007, 12:09

Bueno, tranqui, que ya son nuestros !!!

Los empaquetas en un ZIP o RAR con password VIRUS y asi los podras enviar sin problemas

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Ya falta menos !

saludos

ms, 2-10-2007

lola · Mensaje por **lola** » 02 Oct 2007, 12:20

Vale ya os lo he enviado!

Que hago yo con ellos? los elimino?, me espero... ya diréis! :D

Mensaje por **msc hotline sat** » 02 Oct 2007, 12:23

Espera, que no sabemos lo que son !

y antes de eliminarlos hemos de comprobar que lleguen bien y que sean malwares, que se les supone, pero ...

Ademas, si son zips poco de molestan.

Te informaremos en cuanto podamos

saludos

ms, 2-10-2007

lola · Mensaje por **lola** » 02 Oct 2007, 13:06

Gracias!

Estoy a la espera :wink:

Mensaje por **msc hotline sat** » 02 Oct 2007, 13:21

Bueno, todos son lo mismo, generan un fichero que parece un link, para despistar y que se pulse encima:

IMGO794_www.photoshare.com , pero no es mas que un fichero .COM, eso si, gusano, claro !

Esta tarde subiremos a esta web la utilidad ELITRIIP 3.95 QUE LO ELIMINARÁ Y RESTAURARÁ LAS CLAVES MODIFICADAS O MALICIOSAS AL RESPECTO,

Nota. Hemos visto que el fichero .com se autoborra, asi que no lo busqyes que no lo encontrarás, como maximo encontrarás con dicho nombre los restos con extension .PF

Pues no es mas que una variiante de SDBOT , y el fichero gusano que utiliza es el de JUCHECK.EXE en la carpeta DLLCACHE (del cual ya teniamos noticias en otro Tema)

Por la tarde subiremos el indicado ELITRIIP

saludos

ms, 2-10-2007

Mensaje por **msc hotline sat** » 02 Oct 2007, 13:24

Buscando el otro Tema del JUCHECK... era este mismo !!!, y justamente en la carpeta DLLCACHE como indicamos.

Bueno pues es igual, si no lo encontró, ahora nos lo cargaremos igualmente.

Pero ya ibamos bien enfocados, lo que pasa es que debe esconcerse el condenado !

saludos

ms, 2-10-2007

Mensaje por **msc hotline sat** » 02 Oct 2007, 13:36

Nota: Seguramente no los vio porque ademas de Hidden (oculto) tienen atributo de R (read Only) y S (Sistema) y estos ultimos, ni mirando los ocultos se ven, se ha de desmarcar la casilla de ocultar ficheros de sistema.

Bueno, con un Iniico-> Buscar si que se ven...

saludos

ms, 2-10-2007

lola · Mensaje por **lola** » 02 Oct 2007, 17:15

Vale! Muchas gracias!

Asi espero a esta tarde, descargo la actualicación de elistara y con eso se me eliminará?

No hace falta que lo busque porque yo creo que se mueve, se borra de un sitio y se pone en otro... :roll:

Si no es asi corregidme.

:oops:

Mensaje por **msc hotline sat** » 02 Oct 2007, 17:54

No, el ELISTARA no, en este caso es el ELITRIIP, y ya lo tengo compilado, estaba esperando al ELISTARA para subirlos juntos, pero voy a ver si puedo subir este ahora mismo, te informo luego aqui mismo...

Venga, luego informaré al foro, pero ya puedes descargar la nueva version:

---v3.95---( 2 de Octubre del 2007) (Muestra de (2)Sdbot(msn) "JUCHECK.EXE y PICTS-****.ZIP", "USNSVC.EXE y N039_JPG.ZIP"

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 2-10-2007

lola · Mensaje por **lola** » 02 Oct 2007, 18:05

Ohh! que bien! :D

Gracias! En cuanto tenga 5 minutos lo hago y os digo!

Saludos

lola · Mensaje por **lola** » 03 Oct 2007, 09:56

Buenos días,

He pasado el elitrip esta mañana y aquí os pego el resultado:

Wed Oct 03 09:08:52 2007

EliTriIP v3.95 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Wed Oct 03 09:09:04 2007

EliTriIP v3.95 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\SISPORT.SYS --> Eliminado, RootKit

C:\WINDOWS2\virus\picts-0250.zip --> Eliminado, SdBot(msn)

C:\WINDOWS2\virus\picts-0608.zip --> Eliminado, SdBot(msn)

C:\WINDOWS2\virus\picts-1802.zip --> Eliminado, SdBot(msn)

C:\WINDOWS2\virus\picts-1877.zip --> Eliminado, SdBot(msn)

C:\WINDOWS2\virus\picts-2126.zip --> Eliminado, SdBot(msn)

Espero vuestra respuesta, a ver si se ha solucionado ya.

Gracias

Mensaje por **msc hotline sat** » 03 Oct 2007, 09:58

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 3 de Octubre de 2007