hola, bueno estaba en mi pc y se me ocurrio hacer un analisis online para ver si tenia algun virus, hice el panda y me detecto 2 luego de esto reinicie y de la nada (antes no tenia ningun error) comenzaron los errores. La cosa es que no puedo abrir casi ningun exe me sale rundll32.exe no se ha encontrado la aplicacion y despues me tira al abrir con, solo puedo abrir mozilla y no explorer, tambien he tratado varias aplicaciones y me sale el mismo mensaje tampoco puedo entrar a las propiedades de pantalla.No se que hacer!!!! alguna ayuda porfavor
gracias y saludos
rundll32 (SOLUCIONADO)
-
evangelion_01
Descargate el hijackthis de la pagina principal de zonavirus/descargas
posteanos aqui tu log del hijack
tambien descargate el elistara y el elitrip, correlos en modo a prueba de fallos y tras reiniciar, nos copias y pegas el log que te dejan en C://infosat.txt
http://www.zonavirus.com/descargas/elistara.asp
http://www.zonavirus.com/descargas/elitriip.asp
[url=https://foros.zonavirus.com/viewtopic.php?p=53459#53459][b]TUTORIAL HJT[/b] [/url]
Saludos!
posteanos aqui tu log del hijack
tambien descargate el elistara y el elitrip, correlos en modo a prueba de fallos y tras reiniciar, nos copias y pegas el log que te dejan en C://infosat.txt
Saludos!
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Esto es que tenias un virus que interceptaba la ejecucion de los EXES con un ejecutable, el cual has eliminado sin restaurar dicha clave
Es raro que lo haya hecho un antivirus, eso mas bien lo hace el usuario borrando a mano un fichero, que es gusano y debe eliminarse, pero solo restaurando la clave modificada.
Recuerdas haber borrado a mano algun fichero que te pareció feo ???
Es posible que con nuestras utilidades restaures la clave, pero puede que conozcan o no dicho virus, y lo que conviene es saber el gusano que lo causó para eliminar sus restos, por si fuera causa de lo que te eliminó Panda, sabes lo que fue ???
Ya nos contarás, de momento lanza las utilidades indicadas y nos posteas el contenido de c:\infosat.txt y dinos si tras reiniciar ya funcionan los EXE, aunque no hayan encontrado nada infectado, pues restauramos claves que vemos modificadas aun que no encontremos o conozcamos el causante.
saludos
ms, 7-10-2007
Es raro que lo haya hecho un antivirus, eso mas bien lo hace el usuario borrando a mano un fichero, que es gusano y debe eliminarse, pero solo restaurando la clave modificada.
Recuerdas haber borrado a mano algun fichero que te pareció feo ???
Es posible que con nuestras utilidades restaures la clave, pero puede que conozcan o no dicho virus, y lo que conviene es saber el gusano que lo causó para eliminar sus restos, por si fuera causa de lo que te eliminó Panda, sabes lo que fue ???
Ya nos contarás, de momento lanza las utilidades indicadas y nos posteas el contenido de c:\infosat.txt y dinos si tras reiniciar ya funcionan los EXE, aunque no hayan encontrado nada infectado, pues restauramos claves que vemos modificadas aun que no encontremos o conozcamos el causante.
saludos
ms, 7-10-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
hola bueno primero gracias por sus respuestas, ya me baje los 3 programas pero no puedo iniciar en modo seguro, ni con f8 porque me entra a una pantalla de opcion pa elegir boot device y con ejecutar msconfig no emd eja pues no puedo abrir los exe. Lo que es bien raro pues ayer cuando postee mi rpoblema estaba en modo a prueba de fallos (me funcionaba lo del f8) y ahora no, bueno algun otro modo de entrar en modo seguro??
saludos
saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Es muy importante que nos digas lo que te detectó y eliminó Panda:
"panda y me detecto 2 "
Pues con ello sabriamos a qué atenernos...
Mira si te funcionan los ficheros como COM, renombra la extension de cualquiera de las utilidades indicadas (ELISTARA.EXE -> ELISTARA.COM ) y lo pruebas ???
Dinos si asi puedes ejecutarlo
saludos
ms, 7-10-2007
"panda y me detecto 2 "
Pues con ello sabriamos a qué atenernos...
Mira si te funcionan los ficheros como COM, renombra la extension de cualquiera de las utilidades indicadas (ELISTARA.EXE -> ELISTARA.COM ) y lo pruebas ???
Dinos si asi puedes ejecutarlo
saludos
ms, 7-10-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
panda solo me dijo que habia detectado 2 virus pero no los elimino, por eso yo pense en bajar otro antivirus ( pues solo le hice el checkeo online) para eliminarlos pues no tengo ninguno, ahi fue cuando reinicie y empezaron los problemas. Bueno pude entrar en modo a preuba de fallos pero no me funcionan los exe tampco y no se como renombrar a .com pues no me muestra la extension en el nombre, disculpen la ignorancia jaj es que no me manejo mucho
saludos
saludos
-
evangelion_01
jajaj si lo se es que nunca en 5 años me habia entrado un virus asique me acostumbre a tenerlo asi. Bueno finalmente pude hacer todo lo que me indicaron, este es el log del hjt
Logfile of HijackThis v1.99.1
Scan saved at 19:15:42, on 08/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrador\Escritorio\Nueva carpeta\HijackThis.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://www.busca7.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.busca7.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://www.busca7.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.busca7.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 61.129.115.198http://www.xldd.com
O1 - Hosts: 61.129.115.198http://www.ojiang.com
O1 - Hosts: 61.129.115.198http://www.shuixian.net
O1 - Hosts: 61.129.115.198http://www.xlarea.com
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [cFosSpeed] C:\Archivos de programa\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [soundmix] C:\WINDOWS\system32\soundmix.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [RocketDock] "C:\Archivos de programa\RocketDock\RocketDock.exe"
O4 - Global Startup: GammaTray.lnk = ?
O4 - Global Startup: NCProTray.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Archivos de programa\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: MagicTuneEngine - Unknown owner - C:\Archivos de programa\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
luego abri el elitrip y no agarro nada, pero el elistara si, 2 infecciones. Reinicie y todo volvio a la normalidad, eso kiere decir que el virus ya no esta o toadavia tengo algo por hacer???
saludos
Logfile of HijackThis v1.99.1
Scan saved at 19:15:42, on 08/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrador\Escritorio\Nueva carpeta\HijackThis.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 61.129.115.198
O1 - Hosts: 61.129.115.198
O1 - Hosts: 61.129.115.198
O1 - Hosts: 61.129.115.198
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [cFosSpeed] C:\Archivos de programa\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [soundmix] C:\WINDOWS\system32\soundmix.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [RocketDock] "C:\Archivos de programa\RocketDock\RocketDock.exe"
O4 - Global Startup: GammaTray.lnk = ?
O4 - Global Startup: NCProTray.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Archivos de programa\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: MagicTuneEngine - Unknown owner - C:\Archivos de programa\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
luego abri el elitrip y no agarro nada, pero el elistara si, 2 infecciones. Reinicie y todo volvio a la normalidad, eso kiere decir que el virus ya no esta o toadavia tengo algo por hacer???
saludos
-
evangelion_01
Mon Oct 08 19:17:19 2007
EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 forum.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 users.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 shop.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 vodka.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com
Mon Oct 08 19:17:30 2007
EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Mon Oct 08 19:19:39 2007
EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Mon Oct 08 19:19:53 2007
EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
Mon Oct 08 19:20:28 2007
EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Oct 08 19:20:34 2007
EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ
C:\Archivos de programa\WinAVI Video Converter\SIMPLEEXT.DLL --> Eliminado, AutoRun.K
C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow
Mon Oct 08 19:21:42 2007
EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Mon Oct 08 19:21:47 2007
EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
Mon Oct 08 19:21:55 2007
EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 forum.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 users.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 shop.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 vodka.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com
Mon Oct 08 19:17:30 2007
EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Mon Oct 08 19:19:39 2007
EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Mon Oct 08 19:19:53 2007
EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
Mon Oct 08 19:20:28 2007
EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Oct 08 19:20:34 2007
EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ
C:\Archivos de programa\WinAVI Video Converter\SIMPLEEXT.DLL --> Eliminado, AutoRun.K
C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow
Mon Oct 08 19:21:42 2007
EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Mon Oct 08 19:21:47 2007
EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
Mon Oct 08 19:21:55 2007
EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
-
evangelion_01
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues elimina ademas estas claves:
O1 - Hosts: 61.129.115.198http://www.xldd.com
O1 - Hosts: 61.129.115.198http://www.ojiang.com
O1 - Hosts: 61.129.115.198http://www.shuixian.net
O1 - Hosts: 61.129.115.198http://www.xlarea.com
y envianos este fichero para analizar, pues podría ser un gusano...
C:\WINDOWS\system32\soundmix.exe
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
tras analizarlo, informaremos
saludos
ms, 8-10-2007
O1 - Hosts: 61.129.115.198
O1 - Hosts: 61.129.115.198
O1 - Hosts: 61.129.115.198
O1 - Hosts: 61.129.115.198
y envianos este fichero para analizar, pues podría ser un gusano...
C:\WINDOWS\system32\soundmix.exe
->
tras analizarlo, informaremos
saludos
ms, 8-10-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Bueno, pues bingo !
Las modificaciones en el HOSTS, que hemos eliminado en el post anterior, y la presencia del fichero C:\windows\system32\soundmix.exe , son suficientes para confirmar la presencia de este virus:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=7019
Ya puedes añadir la eliminacion de esta clave a lo indicado anteriormente:
O4 - HKLM\..\Run: [soundmix] C:\WINDOWS\system32\soundmix.exe
y sobretodo envianos el fichero pedido:
C:\WINDOWS\system32\soundmix.exe
pues implementaremos su control y eliminacion en la siguiente version de nuestras utilidades, de lo cual informaremos
y para ello:
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
saludos
ms, 8-10-2007
Las modificaciones en el HOSTS, que hemos eliminado en el post anterior, y la presencia del fichero C:\windows\system32\soundmix.exe , son suficientes para confirmar la presencia de este virus:
Ya puedes añadir la eliminacion de esta clave a lo indicado anteriormente:
O4 - HKLM\..\Run: [soundmix] C:\WINDOWS\system32\soundmix.exe
y sobretodo envianos el fichero pedido:
C:\WINDOWS\system32\soundmix.exe
pues implementaremos su control y eliminacion en la siguiente version de nuestras utilidades, de lo cual informaremos
y para ello:
->
saludos
ms, 8-10-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Mira que no esté oculto:
https://foros.zonavirus.com/viewtopic.php?f=5&t=13245
y por si hubiera un ROotkit que lo ocultara, arranca en modo seguro para verlo, y si asi lo ves, copialo a la carpeta c:\muestras, desde donde luego nos lo podrás enviar arrancando en modo normal.
saludos
ms, 8-10-2007
y por si hubiera un ROotkit que lo ocultara, arranca en modo seguro para verlo, y si asi lo ves, copialo a la carpeta c:\muestras, desde donde luego nos lo podrás enviar arrancando en modo normal.
saludos
ms, 8-10-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Buenmo, pues con lo del SOUNDMIX nos quedaremos sin poder analizarlo y consecuentemente controlarlo, pero al menos si ya ha eliminado la clave de carga:
O4 - HKLM\..\Run: [soundmix] C:\WINDOWS\system32\soundmix.exe
como le indicabamos anteriormente, ya no será lanzado en cada reinicio, aunque existiera oculto y escondido dicho fichero ???
Por tanto damos el Tema por solucionado y procedemos a cerrarlo
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 9-10-2007
O4 - HKLM\..\Run: [soundmix] C:\WINDOWS\system32\soundmix.exe
como le indicabamos anteriormente, ya no será lanzado en cada reinicio, aunque existiera oculto y escondido dicho fichero ???
Por tanto damos el Tema por solucionado y procedemos a cerrarlo
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 9-10-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online