Abrir un correo de fotos

Proskunneo · Mensaje por **Proskunneo** » 13 Abr 2008, 21:57

Amigos hace dias descargue un archvio que supiuestamente me envio un amigo sobre fotos pero tardiamente me di cuenta que era un virus que se envia automaticamente al inicio del messenger. Despues de ello comence a tener problemas con mi computadora (se puso al inicio una pantalla azul que decia que habia un error en un software nuevo k habia instalado y k debia desisntalarlo.) finalmente oopte por formatear mi computadora pero ahora, llevo ya dos formateadas y aun tengo problemas. Me aprecen ventanas que dicen k en 60 seg se reiniciara mi maquiena y tambien me dice que el generic host ha detectado un probelam y debe cerrarse. y Cuando le paso el tuneup me dice k no puiede accesar al registro.

Aki coloco mi registro del hijackThis ojala puedan ayudarme. Gracias mil de antemano. Son mi esperanza.

Logfile of HijackThis v1.99.1

Scan saved at 14:37:27 p.m., on 13/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [LGODDFU] "C:\Archivos de programa\lg_fwupdate\fwupdate.exe" blrun

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SecurDisc] C:\Archivos de programa\Nero\Nero 7\InCD\NBHGui.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [EPSON Stylus CX3900 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEL.EXE /FU "C:\WINDOWS\TEMP\E_S12D.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207854054194

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Mensaje por **lucl** » 13 Abr 2008, 22:13

Primero pasa estos dos antitrojanos y nos pegas el log que te dejaran en C infosat.txt , te dejo los links de descarga, saludos

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

Proskunneo · Mensaje por **Proskunneo** » 13 Abr 2008, 22:43

Agradezco tu pronta respuesta.

Este es el informe que me dio

Sun Apr 13 13:25:40 2008

EliStartPage v16.05 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Apr 13 13:25:43 2008

EliStartPage v16.05 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 2945

Nº Total de Ficheros: 36621

Nº de Ficheros Analizados: 11654

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sun Apr 13 15:32:48 2008

EliTriIP v4.61 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sun Apr 13 15:32:53 2008

EliTriIP v4.61 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 2974

Nº Total de Ficheros: 37561

Nº de Ficheros Analizados: 10893

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Gracias de antemano

Proskunneo · Mensaje por **Proskunneo** » 13 Abr 2008, 23:13

Acabo de descargar el rootkit detective y te anexo el registro de suceso que devolvio Gracias.

McAfee(R) Rootkit Detective 1.1 scan report

On 13-04-2008 at 16:06:24

OS-Version 5.1.2600

Service Pack 2.0

====================================

Object-Type: Registry-key

Object-Name: DataAfee(R) Rootkit Detective 1.1 scan report

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data

Status: Hidden

Object-Type: Registry-key

Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden

Object-Type: Registry-key

Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden

Object-Type: Registry-key

Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden

Object-Type: Registry-value

Object-Name: Item Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden

Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden

Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden

Object-Type: Registry-key

Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Status: Hidden

Object-Type: Registry-key

Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden

Object-Type: Registry-value

Object-Name: Value

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden

Object-Type: Process

Object-Name: System Idle Process

Pid: 0

Object-Path:

Status: Visible

Object-Type: Process

Object-Name: Rootkit_Detecti

Pid: 1984

Object-Path: C:\Documents and Settings\NewServer\Escritorio\McafeeRootkitDetective\Rootkit_Detective.exe

Status: Visible

Object-Type: Process

Object-Name: svchost.exe

Pid: 372

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible

Object-Type: Process

Object-Name: EXCEL.EXE

Pid: 4092

Object-Path: C:\Archivos de programa\Microsoft Office\Office12\EXCEL.EXE

Status: Visible

Object-Type: Process

Object-Name: pctspk.exe

Pid: 1924

Object-Path: C:\WINDOWS\system32\pctspk.exe

Status: Visible

Object-Type: Process

Object-Name: csrss.exe

Pid: 624

Object-Path: C:\WINDOWS\system32\csrss.exe

Status: Visible

Object-Type: Process

Object-Name: ctfmon.exe

Pid: 1988

Object-Path: C:\WINDOWS\system32\ctfmon.exe

Status: Visible

Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible

Object-Type: Process

Object-Name: svchost.exe

Pid: 1248

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible

Object-Type: Process

Object-Name: services.exe

Pid: 692

Object-Path: C:\WINDOWS\system32\services.exe

Status: Visible

Object-Type: Process

Object-Name: jusched.exe

Pid: 1932

Object-Path: C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

Status: Visible

Object-Type: Process

Object-Name: msnmsgr.exe

Pid: 2676

Object-Path: C:\Archivos de programa\MSN Messenger\msnmsgr.exe

Status: Visible

Object-Type: Process

Object-Name: svchost.exe

Pid: 1096

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible

Object-Type: Process

Object-Name: spoolsv.exe

Pid: 1468

Object-Path: C:\WINDOWS\system32\spoolsv.exe

Status: Visible

Object-Type: Process

Object-Name: alg.exe

Pid: 2212

Object-Path: C:\WINDOWS\System32\alg.exe

Status: Visible

Object-Type: Process

Object-Name: iexplore.exe

Pid: 2832

Object-Path: C:\Archivos de programa\Internet Explorer\iexplore.exe

Status: Visible

Object-Type: Process

Object-Name: InCDsrv.exe

Pid: 416

Object-Path: C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

Status: Visible

Object-Type: Process

Object-Name: wuauclt.exe

Pid: 2496

Object-Path: C:\WINDOWS\system32\wuauclt.exe

Status: Visible

Object-Type: Process

Object-Name: NBHGui.exe

Pid: 1908

Object-Path: C:\Archivos de programa\Nero\Nero 7\InCD\NBHGui.exe

Status: Visible

Object-Type: Process

Object-Name: E_FATIBEL.EXE

Pid: 1940

Object-Path: C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEL.EXE

Status: Visible

Object-Type: Process

Object-Name: fwupdate.exe

Pid: 1880

Object-Path: C:\Archivos de programa\lg_fwupdate\fwupdate.exe

Status: Visible

Object-Type: Process

Object-Name: lsass.exe

Pid: 704

Object-Path: C:\WINDOWS\system32\lsass.exe

Status: Visible

Object-Type: Process

Object-Name: svchost.exe

Pid: 860

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible

Object-Type: Process

Object-Name: svchost.exe

Pid: 1976

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible

Object-Type: Process

Object-Name: firefox.exe

Pid: 612

Object-Path: C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

Status: Visible

Object-Type: Process

Object-Name: usnsvc.exe

Pid: 3000

Object-Path: C:\Archivos de programa\MSN Messenger\usnsvc.exe

Status: Visible

Object-Type: Process

Object-Name: egui.exe

Pid: 1916

Object-Path: C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

Status: Visible

Object-Type: Process

Object-Name: ekrn.exe

Pid: 304

Object-Path: C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

Status: Visible

Object-Type: Process

Object-Name: winamp.exe

Pid: 460

Object-Path: C:\Archivos de programa\Winamp\winamp.exe

Status: Visible

Object-Type: Process

Object-Name: svchost.exe

Pid: 956

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible

Object-Type: Process

Object-Name: RichVideo.exe

Pid: 492

Object-Path: C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

Status: Visible

Object-Type: Process

Object-Name: wdfmgr.exe

Pid: 1112

Object-Path: C:\WINDOWS\system32\wdfmgr.exe

Status: Visible

Object-Type: Process

Object-Name: winlogon.exe

Pid: 648

Object-Path: C:\WINDOWS\system32\winlogon.exe

Status: Visible

Object-Type: Process

Object-Name: smss.exe

Pid: 556

Object-Path: C:\WINDOWS\System32\smss.exe

Status: Visible

Object-Type: Process

Object-Name: explorer.exe

Pid: 1672

Object-Path: C:\WINDOWS\Explorer.EXE

Status: Visible

Scan complete. Hidden registry keys/values: 10

Mensaje por **msc hotline sat** » 14 Abr 2008, 04:57

El log está limpio, y lo que indicas es propio de falta de parches, lanza un windowsupdate ! :

https://support.microsoft.com/es-es/help/12373/windows-update-faq

Tras ello, informanos del resultado, gracias.

saludos

ms, 14-4-2008

NOTA:_ Y lástima que formatearas, no hacia ninguna falta ! Este tipo de virus lo habrias solucionado facilmente con el ELITRIIP y/o ELISTARA indicados por lucl, o enviandonos el fichero que propagaba como regalito el MSN, si aun no lo controlaramos ! ms.

Proskunneo · Mensaje por **Proskunneo** » 14 Abr 2008, 19:09

Amigos mil gracias. Sus comentarios respecto a que mi sistema no esta infectado me ha devuelto la tranquilidad y obedeciendo de manera inmediata a su consejo me estoy descarganndo las principales actualizaciones. Despues que se hayan instalado voy a darle un tiempo al sistema para ver si me hace los mismos problemas. Prometo informarles. Y con respecto al virus k recibi ya no lo tengo porke formatee pero se k pronto me lo van a enviar pues algunos amigos se conectan de cibercafes infectados y al iniciar automatiucamente se envia. prometo enviarselos para que ustedes lo cheken y puedan ayudar a mas personas tal como me ayudaron a mi gracias y un abrazo desde Morelos, Mexico. :)

Mensaje por **msc hotline sat** » 14 Abr 2008, 19:26

Pues cuando nos envie la muestra miraremos si aun no lo controlamos, y en tal caso, procederemos a ello, monitorizandolo e implementando su control y eliminacion en nuestras utilidades, de lo cual informaremos

saludos

ms, 14-04-2008

Proskunneo · Mensaje por **Proskunneo** » 24 Abr 2008, 20:31

Descargue todos los parches de Microsoft y no he vuelto a tener problema. Ya tengo el virus si alguien me dirige a la pagina sobre como subirlo a este foro le agradeceria bastante. Saludos.

Mensaje por **msc hotline sat** » 24 Abr 2008, 21:06

Claro, lo empaquetas en un ZIP o RAR con password VIRUS (opciones avanzadas) y no anexas a un mail en cuyo ASUNTO indiques tu nick en el foro, o sea "Proskunneo" y lo envias a zonavirus@satinfo.es

ya lo decimos en:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 24-04-2008

Abrir un correo de fotos

Abrir un correo de fotos

Re: Abrir un correo de fotos

Re: Abrir un correo de fotos

Re: Abrir un correo de fotos

Re: Abrir un correo de fotos

Re: Abrir un correo de fotos

Re: Abrir un correo de fotos

Re: Abrir un correo de fotos

Re: Abrir un correo de fotos