VIRUS "FELIZ NATAL A TODOS"

[carlota34]

Hola qué tal?? me acabo de infectar con un virus procedente de un mail que se llama "feliz natal a todas". He sido tonta y he instalado el archivo adjunto. Ahora me da problemas la pagina de hotmail (no se abre desde google y hace cosas raras) y he enviado el mail a todos mis contactos...Alguien me puede ayudar por favor??? gracias, un saludo

[Claudia34]

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:

ELISTARA:http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.


Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt, http://www.zonavirus.com/descargas/elitriip.asp

Y para complementar (opcional en algunos casos):
viewtopic.php?f=5&t=18469

Y compleméntalo posteándonos el Log del HJT:

HJT: (HiJackThis)
¿Como utilizar el Hijackthis?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/tren ... ckthis.asp
Tras analizarlo, informaremos.
Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.
Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

¿Como arrancar en modo a prueba de fallos?
http://www.zonavirus.com/articulos/como ... fallos.asp

Opcional:


Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.
También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.


Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/

https://www.pandasecurity.com/spain/hom ... antivirus/

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.
Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Saludos.

[lucl]

Pues ademas de pasar elistara y elitriip, que es lo mas importante , si recuerdas el nombre del archivo envíanoslo para su análisis y así poder darte la herramienta necesaria, viewtopic.php?f=2&t=45334 y no olvides pegarnos el log que tendrás en C:\infosat.txt

saludos

[msc hotline sat]

Sí, parece ser un nuevo virus brasileño (portugues o gallego) todavía no controlado.



Envianos en fichero que recibiste anexado al mail en cuestion, y lo analizaremos y propondremos soluciones al respecto.



saludos



ms, 23-12-2007

[carlota34]

Hola, el archivo que llevaba adjunto se llama



"audiohq.exe"



No me deja la página del hotmail ni desde el msn ni desde internet.



Voy a probar a hacer lo que me decís, pero no estoy muy segura de hacerlo bien, soy una novata en todo esto.

Sobre todo lo de la restauración del sistema desactivado, no sé cómo se hace...no sé si me dará la opción o tengo que hacer algo yo...



En fin, si me podeis detallar más os lo agradecería, pero sino, ya probaré y a ver qué pasa....



Gracias a todos!!



Saludos

[msc hotline sat]

Si mujer, con el WINRAR o el WINZIP lo empaquetas y seleccionando Opciones Avanzadas escoger "empaquetar con password", y al mismo le pones "VIRUS", asi no tendrás problemas en enviarlo



Aparte, tal como está, subelo al VirusTotal https://www.virustotal.com/es/ y nos posteas el resultado, asi veremos los antivirus que ya lo detectan para poder indicarte cual y como usarlo ya mismo



Seleccionas el contenido del resultado y con un copiar y pegar nos lom pones en tu proximo post de respuesta a este



saludos



ms, 23-12-2007

[VAMPIRA]

Hola,



yo te explico como desasctivar la restauracion del sistema.

1-vas ha inicio

2-buscas panel de control

3-vas a propiedades del sistema.

4-allí veras un cuadro con varias opciones

5-situate en la casilla que pone restaurar sistema y la abres

6-Veras una opcion desmarcada que dice desactivar restaurar, marcas esta opcion y ya tendras desactiva la opcion resturar sistema.



Finalmente reinicias el ordenador para que los cambios haban efecto.



Nota: para poder hacer esto debes tener el ordenador a vista clasica, es decir la opcion en la aparecen todos los iconos en la pantalla.



Saludos

[carlota34]

Bueno chicos, a ver qué sale de esto...os envío los resultados de lo que tenía que hacer: el Log de ElistarA y el de Elitriip (ambos lanzados a prueba de fallos y con la restauración del sistema desactivado) así como los del HijackThis (uno normal y el otro en forma segura).



Disculpadme si me dejo algo o no lo hago como debería, pero ya os digo que soy casi una analfabeta de la informática :lol:

Decidme si necesitais algo más.



Gracias mil a todos.



Saludos





LOG INFOSAT-ELISTARA



Sun Dec 23 12:11:23 2007

EliStartPage v15.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Sun Dec 23 12:12:13 2007

EliStartPage v15.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 4801

Nº Total de Ficheros: 53115

Nº de Ficheros Analizados: 12915

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



LOG INFOSAT-ELITRIIP



Sun Dec 23 12:21:48 2007

EliTriIP v4.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Dec 23 12:22:02 2007

EliTriIP v4.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Dec 23 12:22:04 2007

EliTriIP v4.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\HP\Digital Imaging\{EB57A16E-500D-43d7-85B9-FBE279EBBA6E}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Archivos de programa\HP\Temp\{EB57A16E-500D-43d7-85B9-FBE279EBBA6E}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)



Nº Total de Directorios: 4800

Nº Total de Ficheros: 53111

Nº de Ficheros Analizados: 10031

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



HIJACKTHIS NORMAL:



Logfile of HijackThis v1.99.1

Scan saved at 12:32:41, on 23/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\vsnpstd2.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\usuario\CONFIG~1\Temp\Directorio temporal 2 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AudioHQ] "C:\WINDOWS\system32\audiohq.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: RAID Manager.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe





HIJACKTHIS SEGURO:



Logfile of HijackThis v1.99.1

Scan saved at 12:38:57, on 23/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\DOCUME~1\usuario\CONFIG~1\Temp\Directorio temporal 3 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AudioHQ] "C:\WINDOWS\system32\audiohq.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: RAID Manager.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

[carlota34]

Por cierto, el archivo se llama, como os decía, "audiohq.exe".



Aparece para instalarlo cada vez que reinicio el ordenador, y le tengo que dar a cancelar.

Pone que está en c:\Windows\system32, logicamente cuando entro en esta ruta no lo veo.



Por eso no lo puedo subir al virustotal.



Saludos

[lucl]

Pues mira lo tienes aqui



O4 - HKLM\..\Run: [AudioHQ] "C:\WINDOWS\system32\audiohq.exe"





mira de encontrarlo con BUSCAR pero antes haz esto



inicio---mi pc----herramientas-----opciones de carpeta y en la ficha VER marcar mostrar todos los archivos y carpetas ocultos



aceptas y luego lo buscas, si lo encuentras subelo a virustotal y nos comentas, saludos



http://www.virustotal.com

[carlota34]

Hola otra vez, aqui tenéis el resultado del análisis del virustotal...pregunta: puedo eliminar el virus de mi ordenador sin más, ya que lo he encontrado???



Gracias!!!!!



Saludos







RESULTADO VIRUS TOTAL



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 - - -

AntiVir - - HEUR/Crypted

Authentium - - -

Avast - - -

AVG - - SHeur.AIII

BitDefender - - -

CAT-QuickHeal - - (Suspicious) - DNAScan

ClamAV - - PUA.Packed.NPack-1

DrWeb - - Trojan.DownLoader.origin

eSafe - - -

eTrust-Vet - - -

Ewido - - -

FileAdvisor - - -

Fortinet - - -

F-Prot - - W32/Downloader.H.gen!Eldorado

F-Secure - - -

Ikarus - - -

Kaspersky - - Trojan-Downloader.Win32.Banload.fvt

McAfee - - New Malware.eb

Microsoft - - -

NOD32v2 - - -

Norman - - -

Panda - - Suspicious file

Prevx1 - - Lop.EB

Rising - - -

Sophos - - Mal/EncPk-AO

Sunbelt - - VIPRE.Suspicious

Symantec - - -

TheHacker - - -

VBA32 - - suspected of Trojan-PSW.Game.59 (paranoid heuristics)

VirusBuster - - Packed/nPack

Webwasher-Gateway - - Heuristic.Crypted

Información adicional

MD5: 5c36f509da0222adddc8da7a16daee72

[lucl]

Pues no lo borres, envianoslo como te pedimos para crear la herramienta adecuada. Si quieres renombralo con el boton derecho del raton a .VIR, es decir



audiohq.exe ------ audiohq.VIR



para que no se ponga en marcha cada vez que reinicies, pero por desgracia aunque lo elimines no estas limpia del bicho, por eso es bueno que nos lo mandes para darte la herramienta que necesitas. Saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[msc hotline sat]

Sí, porque igual vemos que infecta otras cosas, como pendrives, y tenemos que eliminar el virus que hubiera propagado en ellos, aparte de eliminar clave y fichero indicados, que pueden no ser lo único.



y como dice lucl, renombrando la extension del fichero a .VIR , quedará aparcado provisionalmente, pero hemos de llegar a fondo.



Tras recibir el fichero, lo analizaremos e informaremos



saludos



ms, 24-12-2007







NOTA : y ojo si en este ordenador se han hecho tranferencias bancarias o accesos a dichas cuentas, ya que al parecer se trata de un cazapasswords bancario...:



Win32.Banload.fvt

Trojan-PSW.Game.59

[carlota34]

Hola, os acabo de enviar a la dirección que me indicasteis el archivo del virus (cambiado a .VIR y comprimido con ZIP).



Espero que os llegue bien.



Gracias!!!



Saludos

[msc hotline sat]

Bien, pues de momento, si ya lo has renombrado a .VIR en el ordenador, solo debes reiniciar y descargar el ELIPEN y ejecutarlo, para vacunar este ordenador y luego pon los pendrives que tengas y procesalos con dicha utilidad, ya que es probable que los tengas infectados y asi evitarás la reinfeccion:





ELIPEN.EXE

http://www.zonavirus.com/descargas/elipen.asp





Cuando nos reincorporemos al trabajo en SATINFO, analizaremos la muestra e implementaremos su control y eliminacion en la proxima version de nuestras utilidades, de lo cual infromaremos.







saludos



ms, 24-12-2007

[carlota34]

Vale, voy a hacer lo que me dices, y ya me diréis algo más.



No se ha utilizado ningún pendrive en este ordenador desde que se infectó con el virus, así es que ese problema descartado.



Muchas gracias y Feliz Navidad.



Saludos

[msc hotline sat]

Sí, pero será el proximo jueves.





De todas formas, tienes el virus "aparcado" por el momento, y mas si no habías usado pendrives. Solo ten cuidado con no ejecutar los anexados a los mails tan a la ligera..., sino puedes infectarte con uno nuevo, no controlado por el antivirus



saludos



ms, 24-12-2007

[carlota34]

Sín problema, leí el post sobre el puente de Navidad.



Llevas toda la razón, he sido una incauta :roll: ...llevaré más cuidado.



Gracias de nuevo!! saludos

[msc hotline sat]

Si no hay mas consecuencias, sirve de experiencia, lo malo es lo que hemos comentado de que es cazapasswords bancarios (Banload) espero que no te haya afectado, pues las transferencias a cuentas rusas son dificiles de perseguir...



Ahora ya no lo tienes activo, pero durante el tiempo que lo tuviste, pudo robar informacion de passwords y demas.



saludos



ms, 24-12-2007

[carlota34]

Pues sí, afortunadamente y por poco (por vaga básicamente y por miedo a encontrarme en números rojos), no me ha pillado lo del password (debe ser la lotería de esta navidad), sólo de pensarlo...he estado a punto de consultar mi cuenta bancaria estos días pero no lo hice!!!



He avisado a todos mis contactos...creo que se está propagando con rapidez...



Las únicas passwords que he utilizado han sido las del msn, menos mal...Gracias a todos, sois unos soletes :P



Saludos

[8nuri8]

holaa!

tb he sido infectada con ese virus!

buscando en google y esas cosas, me he bajado varios antivirus y un monton de programas q la gente recomendaba en esta clase de foros....



de hecho ahora mismo estoy en el modo a prueba de fallos ( no se ni para q ....pero bueno )



por favorrr no se ke hacer!!! y lo kiero arreglar! ke deberia hacer?¿?¿



graciass!

[msc hotline sat]

Pues como se indica, cambiar la extension del fichero "audiohq.exe", de c:\windows\system32\ a .VIR , y tras reiniciar ya no se activará de nuevo, hasta que analicemos la muestra enviada e indiquemos la utilidad con la que pasaremos a eliminarlo totalmente.



saludos



ms, 24-12-2007

[ju_linyola]

hola!! mi problema creo que es peor todavía...! yo también fuí tontissia y abrí i ejecuté el virus este de "feliz natal a todos..." el problema es que al darme cuenta de que era un virus i que no me dejaba abrir el hotmail... pues entré en "buscar" y cuando lo encontré borré el archivo... jooooooooo!



y ahora todavía se ejecuta, el problema es que la solucion que dáis de cambiar la extensión a .vir no la puedo hacer porque no me encuentra el archivo!





que hago???????????? es navidaaaaaaaaaaad y yo tengo 1virus en el PC!



gracias chicos!

[0Mark0]

Como inconsciente que soy, yo también he caido en la trampa.



Tengo una pregunta para los expertos:

Si he cambiado la extension del archibo a audiohq.vir

y despues de inutilizar-lo, lo he eliminado directamente,

¿el virus se ha eliminado de todo el sistema o requiere de mas procesos para acabar con él?





Gracias por toda vuestra dedicación y trabajo!!

Feliz navidad!!

[flacoroo]

pues esperemos que si se acabe el problema pero muchas veces los virus dañan muchos registros y si no nos enviastes la muestras es dificil saber que hace y que daña para que de esa manera nuestras herramientas de limpieza y eliminacion puedan reparar lo dañado...ya nos diras como te esta llendo....esperamos que nos lleguen muestras y ya l jueves que entren a trabajar se haga la actualizacion de las herramientas...

si tienen muestras mandarla a zonavirus@satinfo.es estas muestras deben ir comprimidas con la contraseña virus y haciendo referencia al post que abren ......

[msc hotline sat]

Borrando el fichero quedan claves en el registro pendientes de eliminar, aparte de que puiede haber creado otros con diferente nombre y que sean llamados desde el registro.



No, no debe eliminarse el fichero sin mas, sino como se indica, enviar la muestra para que sea analizada e implementado su control y eliminacion TOTAL en nuestras utilidades, como afortunadamente han hecho otros usuarios antes que estos últimos que se han limitado a borrar los ficheros...



saludos



ms, 26-12-2007

[C4RLO5]

Bueno otro que se ha infectado...en fin que vamos a hacer si somos tan "confiados"..weno he mandado el audiohq.VIR comprimido con la contraseña virus y nada esperando a ver si se soluciona el tema o formateo el PC porque no me gusta nada no poder entrar a mirar el correo ni tampoco a mis cuentas bancarias.



Aunque para las cuentas bancarias siempre introduzco la contraseña manualmente para que no se guarde. Es esto un motivo de confianza?



Muchas gracias de antemano. Un saludo.

[msc hotline sat]

No te confies, los cazapasswords pueden esperan cuando te conectas a un banco para que lo que teclees vaya a parar a manos del hacker malicioso.



Pero lo importante es que ya hayas renombrado en tu ordenador dicho fichero a extension .VIR , para que a partir del proximo reinicio ya no se instale en memoria y no envie mas mensajes víricos, asi como que no sigan peligrando tus cuentas



De todas formas mañana subiremos la utilidad que lo controlará y eliminará.



saludos



ms, 26-12-2007

[msc hotline sat]

Y recordad que este virus parece propagarse ademas por pendrive, asi que probad el ELIPEN !!!





ELIPEN.EXE

http://www.zonavirus.com/descargas/elipen.asp





saludos



ms, 26-12-2007

[C4RLO5]

Gracias msc. Yo he cambiado la extensión a .VIR pero al intentar abrir el hotmail me sigue pasando lo mismo.



Si que es verdad que al encender el ordenador no me sale el mensaje de instalar el audiohq pero yo que se. El Elipen lo he ejecutado ya.



Esperando ansiosamente el dia de mañana.



Merci!