ayuda,estoy infectado (SOLUCIONADO)

gusbest · Mensaje por **gusbest** » 15 Abr 2007, 04:20

tengo muchisimos virus,entre ellos lsass,services.exe que lo he eliminado del registro y aun sale en procesos,aqui os pongo el log,Logfile of HijackThis v1.99.1
Scan saved at 3:21:31, on 15/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Microsoft Windows OneCare Live\winss.exe
C:\Archivos de programa\Microsoft Windows OneCare Live\winssnotify.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\GUSTAV~1\CONFIG~1\Temp\Rar$EX00.766\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/webhp?sourceid=navclient&hl=es&ie=UTF-8
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Archivos de programa\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Archivos de programa\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Transload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5004
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O15 - Trusted Zone: http://toolbar.imageshack.us
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by129fd.bay129.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: c:\windows\system32\svchw.dll MsgPlusLoader.dll
O20 - Winlogon Notify: mszsrn32 - C:\WINDOWS\system32\mszsrn32.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Mensaje por **msc hotline sat** » 15 Abr 2007, 10:28

Dices: "entre ellos lsass,services.exe que lo he eliminado del registro "

Pues no debieras haberlo hecho sin mucho conocimiento de causa, ya que lo normal es que sean del sistema operativo !!!

Veamos lo que te queda:
Ahí tienes uno que sí puede ser virus
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, Envíanos este C:\WINDOWS\system32\ntos.exe para analizarlo debidamente !!!

para ello recuerda: viewtopic.php?f=2&t=45334 y vemos estas ultimas tres claves muy sospechosas:
O20 - AppInit_DLLs: c:\windows\system32\svchw.dll MsgPlusLoader.dll
O20 - Winlogon Notify: mszsrn32 - C:\WINDOWS\system32\mszsrn32.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

La primera parece ser del Messenger Plus, desinstalalo si lo tienes instalado, pues es una fuente de adwares !

La segunda promete ser un malware, envíanos también muestra de este fichero para analizar:
C:\WINDOWS\system32\mszsrn32.dll

y la tercera eliminala, pero aparte de ello, prueba:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
ELINOTIF.DLL
http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminación y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 15-04-2007

gusbest · Mensaje por **gusbest** » 15 Abr 2007, 20:51

aqui tienes otro scan con el hijackthis y el infosat,muchas gracias por tu ayuda.
Logfile of HijackThis v1.99.1
Scan saved at 19:52:15, on 15/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Spyware Doctor\sdhelp.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\eMule0.47c\eMule0.47c\emule.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\WINDOWS\system32\Notepad.exe
C:\DOCUME~1\GUSTAV~1\CONFIG~1\Temp\Rar$EX45.281\HijackThis.exe
C:\WINDOWS\system32\Notepad.exe

Sun Apr 15 12:04:42 2007
EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
[WinLogon\Notify\RPCC]
  Acceso Denegado al fichero
 C:\WINDOWS\SYSTEM32\RPCC.DLL
  Por favor, envienos una muestra del fichero
  que podra copiar arrancando en Consola de Recuperación.
C:\WINDOWS\SYSTEM32\WINCOM32.INI --> Eliminado 
C:\WINDOWS\SYSTEM32\RPCC.DLL -->  Acceso Denegado.
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
C:\WINDOWS\SYSTEM32\Drivers\Ndis.sys --> (Denegado Acceso Lectura)

	  Sun Apr 15 12:06:37 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\K-Lite Codec Pack\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

	  Sun Apr 15 12:23:49 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Exploración Detenida por el Usuario.
No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

	  Sun Apr 15 12:25:31 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\RPCC]
  Acceso Denegado al fichero
 C:\WINDOWS\SYSTEM32\RPCC.DLL
  Por favor, envienos una muestra del fichero
  que podra copiar arrancando en Consola de Recuperación.
C:\WINDOWS\SYSTEM32\RPCC.DLL -->  Acceso Denegado.
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
C:\WINDOWS\SYSTEM32\Drivers\Ndis.sys --> (Denegado Acceso Lectura)

	  Sun Apr 15 12:26:02 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

	  Sun Apr 15 13:10:57 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\RPCC]
  Acceso Denegado al fichero
 C:\WINDOWS\SYSTEM32\RPCC.DLL
  Por favor, envienos una muestra del fichero
  que podra copiar arrancando en Consola de Recuperación.
C:\WINDOWS\SYSTEM32\RPCC.DLL -->  Acceso Denegado.
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
C:\WINDOWS\SYSTEM32\Drivers\Ndis.sys --> (Denegado Acceso Lectura)
No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

	  Sun Apr 15 13:44:14 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\RPCC]
  Acceso Denegado al fichero
 C:\WINDOWS\SYSTEM32\RPCC.DLL
  Por favor, envienos una muestra del fichero
  que podra copiar arrancando en Consola de Recuperación.
C:\WINDOWS\SYSTEM32\RPCC.DLL -->  Acceso Denegado.
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
C:\WINDOWS\SYSTEM32\Drivers\Ndis.sys --> (Denegado Acceso Lectura)

	  Sun Apr 15 13:47:39 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\RPCC]
  Acceso Denegado al fichero
 C:\WINDOWS\SYSTEM32\RPCC.DLL
  Por favor, envienos una muestra del fichero
  que podra copiar arrancando en Consola de Recuperación.
C:\WINDOWS\SYSTEM32\RPCC.DLL -->  Acceso Denegado.

	  Sun Apr 15 14:12:04 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\RPCC]
  Acceso Denegado al fichero
 C:\WINDOWS\SYSTEM32\RPCC.DLL
  Por favor, envienos una muestra del fichero
  que podra copiar arrancando en Consola de Recuperación.
C:\WINDOWS\SYSTEM32\RPCC.DLL -->  Acceso Denegado.
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
C:\WINDOWS\SYSTEM32\Drivers\Ndis.sys --> (Denegado Acceso Lectura)
Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado Malware.RPCC
Elininada KEY "Winlogon\Notify\rpcc"
Desinstalado EliNotif.dll

	  Sun Apr 15 15:22:01 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
C:\WINDOWS\SYSTEM32\Drivers\Ndis.sys --> (Denegado Acceso Lectura)

	  Sun Apr 15 15:22:19 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Sun Apr 15 16:15:15 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Eliminados Ficheros Temporales del IE

	  Sun Apr 15 16:15:37 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Sun Apr 15 16:25:36 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Exploración Detenida por el Usuario.

	  Sun Apr 15 16:27:36 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sun Apr 15 16:27:48 2007
EliStartPage v13.74  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mensaje por **lucl** » 15 Abr 2007, 21:23

Mira si puedes acceder a esto y enviarnos muestra como se indica en el link que te pongo abajo

C:\WINDOWS\SYSTEM32\Drivers\Ndis.sys --> viewtopic.php?f=2&t=45334

y te faltan dos parches muy importantes trata de actualizar tu pc https://support.microsoft.com/es-es/hel ... update-faq

nos cuentas tus avances, saludos

gusbest · Mensaje por **gusbest** » 16 Abr 2007, 00:13

no me deja enviar el archivo que me pides por que el outlook me dice que el hotmail no le da permiso y con el hotmail tampoco puedo enviarlo por que al codificarlo no puede abririrlo para analizarlo antes del envio.

que hago?,gracias

Mensaje por **lucl** » 16 Abr 2007, 09:29

prueba a enviar el archivo al escritorio , arrancando en modo seguro y desde alli comprimirlo , luego reinicia y trata de enviarlo, con el antivirus desactivado para que no te intercepte el envio, a ver si eso funciona, saludos

Nuker · Mensaje por **Nuker** » 16 Abr 2007, 18:30

Y nada de abrirlo, para que el Hotmail no se lo intercepte, cuando usted tenga el archivo a enviar en sus manos haga click derecho luego selecciona añadir al archivo (esto si tiene winrar o winzip, necesitara alguno de los 2). de ahi se va a la pestaña avanzadas y selecciona establecer contraseña, aceptar lo adjunta, y ahora si el hotmail le dara permiso de enviarlo. la contraseña que le pondra será "VIRUS" sin comillas.

Y recuerde desactivar el residente como le indica lucl. Saludos.

gusbest · Mensaje por **gusbest** » 16 Abr 2007, 22:45

no pero si lo que me refiero es el hotmail el que intenta abrirlo si lo mandas por hotmail,lo hace con todos los archivos y los analiza antes del envio,por tanto si esta codificado no te deja,y el outlook no deja por que el hotmail no se lo permite ya que al tener hotmail,no le da permiso

Nuker · Mensaje por **Nuker** » 17 Abr 2007, 21:23

Por lo que entendí no esta adjuntando el fichero con Winrar, si usted lo adjunta no lo escaneara ya que esta adjuntado y con contraseña establecida, y así si le dará permiso de enviarlo.

Winrar: Asi le han hecho los de este foro por 10 años y no han tenido problemas. Ya nos comentara algo.

gusbest · Mensaje por **gusbest** » 18 Abr 2007, 00:35

si que esta con win rar,y no deja si se envia por hotmail y outlook no obtiene permiso de hotmail,prueben ustedes y veran,nose que hacer ya.

Nuker · Mensaje por **Nuker** » 18 Abr 2007, 00:42

Creo saber lo que esta pasando al darle aceptar en hotmail, este le lanza un error por default, en la parte superior, dele click donde dice "aqui" ver informe de error aqui , algo por el estilo no recuerdo muy bien, le saldra una ventana pequeña diciendo que tiene contraseña el paquete que si desea adjuntarlo y le da aceptar. y se adjuntara. Pruebelo.

gusbest · Mensaje por **gusbest** » 18 Abr 2007, 01:13

nuker,no pasa asi lo que me dice es que no puede enviarlo porque esta codificado y hotmail necesita analizar sus archivos antes de enviarlos,nose si es por que tengo la ultima version de msn y lo hace asi o es que por mucho que intente no voy a poder,de todas formas muchas gracias por intentar ayudarme,un saludo

Mensaje por **msc hotline sat** » 18 Abr 2007, 19:48

En la versión del ELISTARA 13.77 de hoy, hemos implementado el control de: C:\WINDOWS\system32\ntos.exe que será movido a carpeta C:\muestras para que se nos envie y asi analizarlo y controlarlo, puedes descargarlo ya de:

ELISTARA: http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 18-04-2007

gusbest · Mensaje por **gusbest** » 18 Abr 2007, 23:23

CP1041.NLS --> ,esto lo elimino al reinicio pero vuelve a salir

no me conecta a internet,no se como quitarlos

y me salen 2 uno en minusculas y el otro en mayusculas

aparte de eso siempre me sale el error 126 en el reinicio me he bajado de nuevo el archivo msvbvm60 lo pongo en system32 y no se repara.

Wed Apr 18 21:02:55 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Wed Apr 18 21:03:14 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\CP1041.NLS --> Acceso Denegado, Spam-Xarvester

C:\Archivos de programa\Internet Secure Master\AUTOSHUTDOWN.EXE --> Eliminado, PWS-WoW

Wed Apr 18 22:02:53 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminados Ficheros Temporales del IE

Wed Apr 18 22:03:06 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\CP1041.NLS --> Acceso Denegado, Spam-Xarvester

Mensaje por **lucl** » 18 Abr 2007, 23:29

No lo elimines, intenta enviarlo, a ver si podemos analizarlo para acabar con el, búscalo en C, comprimelo y nos lo envías, saludos

viewtopic.php?f=2&t=45334

Mensaje por **msc hotline sat** » 19 Abr 2007, 11:29

Recibida la muestra, se elimina bien con el ELISTARA, pero al ser detectado por exploracion puede ser que no se pueda detener el proceso si está en uso, prueba de arrancar en modo seguro y volver a probar el ELISTARA

http://www.zonavirus.com/articulos/como ... fallos.asp

Si aun asi se le regenerara, envienos el fichero NDIS.SYS de la carpeta C:\windows\system32\drivers\

saludos
ms, 19-04-2007

gusbest · Mensaje por **gusbest** » 22 Abr 2007, 00:14

Os he enviado el archivo ndis.sys,ya 2 veces no lo recibis?,gracias

Mensaje por **msc hotline sat** » 22 Abr 2007, 10:43

Mañana, al volver al trabajo lo veremos y obraremos en consecuencia

saludos

ms, 22-04-2007

Mensaje por **msc hotline sat** » 23 Abr 2007, 18:41

Analizado el fichero en cuestion es identico al del sistema operativo, no ha sido modificado, dejalo tal cual.

saludos

ms, 23-04-2007

gusbest · Mensaje por **gusbest** » 23 Abr 2007, 22:59

muchisimas gracias, por vuestra gran labor,os estoy muy agradecido.

Mensaje por **msc hotline sat** » 27 Dic 2007, 19:01

Recibidas nuevas muestras que estas sí que son malwares, (Agent.dnn) se implementarán en la versión 15.34 del ELISTARA de mañana viernes dia 28, ya que han llegado cuando ya estábamos compilando la ultima versión de hoy 15.33

saludos
ms, 27-12-2007

en posterior análisis completo se ve que es un gusano de IRC y se pasa a controlar como IRCBOT con el ELITRIIP 4.24 en lugar de lo previsto inicialmente. ms.

Mensaje por **msc hotline sat** » 28 Dic 2007, 12:29

Pues en un analisis completo del fichero enviado, hemos decidido implementarlo en el ELITRIIP al ser un gusano de IRC, pasando a identificarflo como IRCBOT.AFV

A partir de las 19 h de hoy lo podrás descargar y probar:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 28-12-2007

gusbest · Mensaje por **gusbest** » 28 Dic 2007, 17:30

gracias aunque no era en este post donde lo publique este es mas viejo,milllll,graciasssssss

Mensaje por **msc hotline sat** » 28 Dic 2007, 17:41

Ya hemos subido las utilidades de hoy, puedes descargarlas y probarlas. Ya nos postearas el resultado (infosat.txt)

Y con respecto a que no era el Tema... es que solo debe haber uno de abierto ! : viewtopic.php?f=1&t=17624 y la respuesta se hace sobre el que se encuentra...

Tenlo presente para otra vez, gracias

saludos
ms, 28-12-2007

gusbest · Mensaje por **gusbest** » 28 Dic 2007, 18:56

bueno pues esto es lo que me ha dicho el elitrip

Fri Dec 28 18:31:04 2007

EliTriIP v4.24 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Fri Dec 28 18:31:05 2007

EliTriIP v4.24 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\afjyo.exe --> Eliminado, IRCBot.AIU

C:\WINDOWS\system32\ewh.exe --> Eliminado, IRCBot.AIU

C:\WINDOWS\system32\mewi.exe --> Eliminado, IRCBot.AIU

Nº Total de Directorios: 5784

Nº Total de Ficheros: 63947

Nº de Ficheros Analizados: 12866

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

por cierto msc tienes razon no os dije que cerrarais este tema,gracias,nose si con eso bastara,ya me decis algo

Mensaje por **msc hotline sat** » 28 Dic 2007, 20:29

Bien, pues damos por solucionado este Tema y cerramos los demas tuyos por lo que indicas.

Si nos necesitas de nuevo, ya sabes donde estamos.

saludos
ms, 28-12-2007