virus Mariajose.exe , ayuda T.T

[Kurick]

bueno mi problema es el siguiente



yo tratando de ayudar un profesor con un simple virus, pense que podria eliminarlo, asi que me paso su unidad de pendrive

y lo puse en mi casa, pensando que podia eliminarlo facilmente

lo que no sabia que este virus corria incluso cuando ponia el pendrive

a mi parecer debe ser uno de esos que tienen un inmenso codigo con autorun y una pila de cosas que hace dificil extraerlo y eliminarlo



el virus se copia y replica y "muta", cambia de nombre mientras se multiplica



alguien me puede ayudar y decir como eliminar a este fastidioso bicho que tengo en mi pc y limpiar los pendrives =(?



voy a dejar un link con el virus comprimido en caso de que lo necesiten examinar

<interceptado>

(soy nuevo en el foro y nose como es la cosa aqui u.u)



gracias de antemano ^^

[msc hotline sat]

Pues envienos el fichero sospechoso para analizar como indicamos:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y tras ello implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 13-05-2008

[Kurick]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:12:37, on 13/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\AlienGUIse\wbload.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\mj.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\img000152.exe

C:\Archivos de programa\AlienGUIse\AlienwareDock\ObjectDock.exe

C:\Documents and Settings\MANUEL\Menú Inicio\Programas\Inicio\Foto(39).exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Documents and Settings\All Users\Escritorio\FotoCote.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\mj.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Mj] C:\WINDOWS\system32\mj.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Mj] C:\WINDOWS\system32\mj.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - S-1-5-18 Startup: ImagenCamara_5.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: ImagenCamara_5.exe (User 'Default user')

O4 - .DEFAULT User Startup: ImagenCamara_5.exe (User 'Default user')

O4 - Startup: Alienware Dock.lnk = C:\Archivos de programa\AlienGUIse\AlienwareDock\ObjectDock.exe

O4 - Startup: Foto(39).exe

O4 - Global Startup: img000152.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Portafolios de HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Selección inteligente de HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



--

End of file - 6773 bytes

[msc hotline sat]

Pues de entrada envienos estos ficheros para analizar:



C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\img000152.exe



C:\Documents and Settings\MANUEL\Menú Inicio\Programas\Inicio\Foto(39).exe



C:\Documents and Settings\All Users\Escritorio\FotoCote.exe







Y tienes instalado el Messenger Plus !!! es un foco de adwares, desinstalalo !







Elimina estas claves:



O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"



O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')



O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')



O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')



O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')



O4 - S-1-5-18 Startup: ImagenCamara_5.exe (User 'SYSTEM')



O4 - .DEFAULT Startup: ImagenCamara_5.exe (User 'Default user')



O4 - .DEFAULT User Startup: ImagenCamara_5.exe (User 'Default user')



O4 - Startup: Foto(39).exe



O4 - Global Startup: img000152.exe



O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1







>[b]ENVIO DE UESTRAS Y ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibir las muestras solicitadas, las analizaremos e implemnentaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos para que pueda probarla y asi eliminar los restos de dichos malwares



saludos



ms, 14-05-2008

[Kurick]

[Autorun]

Open=mj.exe C:\

;shell\open=Open(&O)

shell\open\Command=mj.exe C:\

shell\open\Default=1

;shell\explore=Manager(&X)

shell\explore\Command=mj.exe C:\



eso logre pillar de un autorun ke logre identificar luego de 6 horas sentado frente al pc xd!!!

[Kurick]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2:06:28, on 14/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\AlienGUIse\wbload.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\AlienGUIse\AlienwareDock\ObjectDock.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\mj.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Mj] C:\WINDOWS\system32\mj.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Mj] C:\WINDOWS\system32\mj.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Alienware Dock.lnk = C:\Archivos de programa\AlienGUIse\AlienwareDock\ObjectDock.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Portafolios de HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Selección inteligente de HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe



--

End of file - 5818 bytes





---

[lucl]

Pues veras msc ya te informara al respecto pero debes ceñirte al foro para poder ayudarte , si usas las herramientas de aqui no debes usar otras que a lo mejor son desaconsejables por alguna cosa. Tu crees que has eliminado el programa y a lo mejor es asi pero a lo mejor no y puede ser peor el remedio que la enfermedad ademas que asi no ayudas al foro que de manera altruista te esta ayudando a eliminar un virus, y mucho menos a los demas foreros que nos visitan y que necesitan de nuestra ayuda. Debiste mandar las muestras para analizarlo y poder dar con la herramienta necesaria, y a ver si es cierto que eliminaste el virus del todo, espero que entiendas lo que te digo, y para otra vez te ciñas solo a lo que te pedimos . Saludos

[Kurick]

me siento mal :(

mañana me contaminare con las mismas diapositivas con tal de mandar lasmuestras y que todo sea mejor

ahora me voya dormir, que son las 2 am aqui en chile

y entro a clases a las 8 am

mañana sin falta estan esos archivos ^^



y si comprendi lo que decias u.u

[lucl]

No hace falta que te contamines, envianoslos desde el pc infectado y listo, y que duermas bien, saludos!

[Kurick]

tarde ya me infecte denew

lo raro que los nombres cambian

pero siguen estando algunos en esas mismas carpetas

posteare el nuevo log porsiacaso =O

quede con cargo de conciencia

u.u



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2:27:57, on 14/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\AlienGUIse\wbload.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\AlienGUIse\AlienwareDock\ObjectDock.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

G:\Readme v21\Fotobikini.exe

G:\Readme v21\FotoCote.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe G:\Readme v21\Fotobikini.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Mj] C:\WINDOWS\system32\mj.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Mj] C:\WINDOWS\system32\mj.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - S-1-5-18 Startup: Foto(39).exe (User 'SYSTEM')

O4 - .DEFAULT Startup: Foto(39).exe (User 'Default user')

O4 - .DEFAULT User Startup: Foto(39).exe (User 'Default user')

O4 - Startup: Alienware Dock.lnk = C:\Archivos de programa\AlienGUIse\AlienwareDock\ObjectDock.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Portafolios de HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Selección inteligente de HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe



--

End of file - 5953 bytes

[msc hotline sat]

Espero que hayas descansado y estés bien despierto ya :wink:



Pues atiende...



Envianos estos ficheros para analizar:



G:\Readme v21\Fotobikini.exe



G:\Readme v21\FotoCote.exe





y ejecuta el ELISHELL para corregir (no eliminar) esta clave:



F2 - REG:system.ini: Shell=Explorer.exe G:\Readme v21\Fotobikini.exe



DESCARGA DEL ELISHELL:



http://www.zonavirus.com/descargas/elishell.asp





y estas otras si que debes eliminarlas:



O4 - S-1-5-18 Startup: Foto(39).exe (User 'SYSTEM')



O4 - .DEFAULT Startup: Foto(39).exe (User 'Default user')



O4 - .DEFAULT User Startup: Foto(39).exe (User 'Default user')



O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1





recuerda para enviar muestras y eliminar claves:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 14-05-2008





NOTA:

Y aunque con lo indicado apañemos de momento el bicho, tras analizar las muestras ya te diremos la utilidad donde implementaremos su control y eliminacion, para probar y hacer limpieza total al respecto. ms.

[lucl]

No fue mi intencion abroncarte si no concienciarte y parece que lo consegui, aunque no era necesario que te reinfectaras de nuevo . Envianos el archivo en cuestion como te indico msc y cuando te levantes ya tendras la herramienta que te lo eliminara :D saludos

[Kurick]

listo ya envie las muestras

ahora si que si me voy a dormir (mañana andare con cara de quizas que xd!)

osea.. hoy ya que van a ser las 3am aqui

y tengo que levantarme alas 6 :D!!!

yap..gracias chau chau ^^

[msc hotline sat]

Llegó la muestra y en un analisis superficial vemos que McAfee ya la detecta y controla como AUTORUN... , por lo que igual ademas, se propaga por pendrive...



Lo analizaremos a fondo y monitorizaremos, a ver si esta tarde ya lo podemos controlar con el ELISTARA 16.27 que hacemos hoy



ya informaremos



saludos



ms, 14-05-2008

[msc hotline sat]

Pues vaya un regalito !



Ha creado un monton de ficheros, de diferente nombre ebn cada carpeta...



Bueno, terminada la monitorizacion, hemos implementado su control y eliminacion en el ELISTARA de hoy 16.27



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



Ademas se propaga por pendrive, asi que recomendamos vacunar ordenador y unidades mapeadas y usb con el ELIPEN :



ELIPEN.EXE

http://www.zonavirus.com/descargas/elipen.asp



saludos



ms, 14-05-2008

[msc hotline sat]

Ya hemos subido la version 16.27 del ELISTARA



A título de informacion, este bicho vemos que al ejecutarlo visualiza una caja dialogo:



"MariaJose [1.0.51]"

"4d41.5249.4120.4a4f.5345.0000.0000.0000"

[Aceptar] MariaJose (esquina inferior derecha)



Queda residente, y mientras resida en memoria:

-Detiene el Proceso del Administrados de tareas.

-Anula:

-Inicio/Ejecutar.

-Editor del Registro.

-Shell al DOS (CMD.EXE).

-Agregar o Quitar Programas del Panel de Control.



C:\ AUTORUN.INF (+s+h)

C:\ MJ.EXE (+s+h)

genera una copia en todas las carpetas de las unidades,

con nombres variables como:



Fondo1024x768.exe

FotitoElla.exe

FotitoElla_10.exe

Foto(39).exe

Foto_ella_bikini.exe

Foto_respaldo1.exe

Fotobikini.exe

FotoCamara(15).exe

FotoCote.exe

FotoMJ.exe

FotoPaseo(1).exe

FotoWena.exe

Imagen(5).exe

ImagenCamara_5.exe

IMG00002.exe

img000152.exe

LastScan.exe

MariaJose.exe

SCS000132.exe

Yoppp_playa.exe

etc....



ejecuta uno de estos ficheros desde



HKCU --- RUN "Mj"="%ruta%\\%nombre%.exe"



HKLM --- RUN "Mj"="%ruta%\\%nombre%.exe"



y crea un Shell del EXPLORER cargandolo



intercepta VBS y VBE



Cambia politicas del EXPLORER



Deshabilita agregar o quitar programas



Deshabilita la edicion del registro



Deshabilita acceso al Panel de Control



Deshabilita acceso a ventana del DOS



Deshabilita la restauracion de sistema



Se propaga a todas las unidades mapeadas, incluyendo pendrives.



Se implementa a partir del ELISTARA 16.27 , siendo detectado como [b][i]"AutoRun.CC "MJ.EXE"" [/i][/b], requiriendo reiniciar para terminar el proceso de eliminacion total.



saludos



ms, 14-05-2008

[Kurick]

ven si era algo serio T.T

toy feliz ... :D!! alguien siempre esta ahi cuando uno esta en problemas

^^

gracias.. estaré a la espera de la ultima version de elistara ^^

:D!!

(mientras tanto me voy a estudiar =P)

[lucl]

Pues deja de estudiar un ratito y descargate la nueva version de elistara que ya te lo eliminara!! Viste como era un buen bicho??? Jeje pasalo en tu pc y luego nos pegas el log que te dejara en C infosat.txt

saludos y gracias por enviarlo :D



http://www.zonavirus.com/descargas/elistara.asp

[Kurick]

uta ohh T.T

hace un rato [b][i]que eché[/i][/b] a correr el elistara

luego reinicie y siguio funcionando

y en el log no [b][i]quedó[/i][/b] nada :? !!





Wed May 14 15:59:47 2008

EliStartPage v16.27 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2432

Nº Total de Ficheros: 25061

Nº de Ficheros Analizados: 7387

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



eso nomas salia luego de reiniciar el pc



y en el pendrive salia esto





Wed May 14 16:15:52 2008

EliStartPage v16.27 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

G:\AUTORUN.INF --> Eliminado, AutoRun.CC(inf)

G:\MJ.EXE --> Eliminado, AutoRun.CC

G:\Readme v21\FOTOCOTE.EXE --> Eliminado, AutoRun.CC

G:\Readme v21\FOTOBIKINI.EXE --> Eliminado, AutoRun.CC



Nº Total de Directorios: 1

Nº Total de Ficheros: 42

Nº de Ficheros Analizados: 7

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



Wed May 14 16:15:57 2008

EliStartPage v16.27 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 1

Nº Total de Ficheros: 38

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 14 16:15:58 2008

EliStartPage v16.27 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 1

Nº Total de Ficheros: 38

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 14 16:15:58 2008

EliStartPage v16.27 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 1

Nº Total de Ficheros: 38

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 14 16:16:16 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Wed May 14 16:16:38 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



---------------------------------------------



Vacune el pc con Elipen.exe

pero el pendrive nose como se hace =o --------> edit: ahora ya lo inmunize =O xD!!

[Kurick]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:31:44, on 14/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\AlienGUIse\wbload.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\AlienGUIse\AlienwareDock\ObjectDock.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Alienware Dock.lnk = C:\Archivos de programa\AlienGUIse\AlienwareDock\ObjectDock.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Portafolios de HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Selección inteligente de HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe



--

End of file - 5021 bytes









Asi quedo el HJT despues de limpiarlo tal cual uds me dijeron :D!!!

lo que si.. cuando trato de ver "mi pc" o " mi equipo" no sale nada... sale la pagina en blanco :S!!!

pero si sale en el scroll para ver... (ni idea como se llama esa barrita donde sale c, escritorio mis documentos etc)

y al tratar de crear archivos nuevos sea en escritorio carpetas o mi pc, solo sale crear carpeta o acceso directo ya no sale bloc de notas, imagen maletin etc

que pudo haber pasado?

[lucl]

Cosa rara que solo nos pongas el log por exploracion y no el de accion directa que sale primero, dinos si es lo que te sale o que ocurre y ademas descargate sprocess y nos pegas el log que te dejara en C



http://www.zonavirus.com/descargas/sproces.asp



no obstante en el pendrive si te los detecto no? saludos

[Kurick]

[attachment=0]SProcLog.txt[/attachment] lo asi ya que el log es muy extenso :cry: :?: ojala no me reten u.u'

[msc hotline sat]

Vemos que en esta unidad se detectó y eliminó por exploracion:



G:\AUTORUN.INF --> Eliminado, AutoRun.CC(inf)

G:\MJ.EXE --> Eliminado, AutoRun.CC

G:\Readme v21\FOTOCOTE.EXE --> Eliminado, AutoRun.CC

G:\Readme v21\FOTOBIKINI.EXE --> Eliminado, AutoRun.CC



pero no vemos el analisis por Accion directa inicial, debes postearnos TODO el contenido del infosat.txt, en bloque, no parcialmente y por partes, gracias



saludos



ms, 15-5-2008

[msc hotline sat]

Y el log del HJT ya está limpio, y el SPROCES que es tan largo debido a que el Spybot ha creado multitud de lineas O1 HOST 127.0.0.1..., ya muestra correcta una de las claves que cargaban al bicho:



F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,



y las incorrectas ya no están, gracias al trabajo del ELISTARA, veamos ahora el C:\infosat.txt completo, como te indicaba en el post anterior y obraremos en consecuencia



saludos



mns, 15-5-2008

[kalyly]

ya se sabe como eliminarlo, al mariajose se le elimina bajando la version free del AVG. lo instalan (antes desintalen cualquier antivirus que tengan) lo hechan a corres (scanner) y les saca de raiz el maldito virus, Comprobado.......suerte



DRT

ULS



ravlic@hot........

[msc hotline sat]

Gracias Kalyly pero para antivirus ya deciamos que el McAfee lo habia controlado cuando lo recibimos:


[quote]Publicado: Mié May 14, 2008 5:14 pm



msc hotline sat

Asunto: Re: virus Mariajose.exe , ayuda T.T



Llegó la muestra y en un analisis superficial vemos que McAfee ya la detecta y controla como AUTORUN... , por lo que igual ademas, se propaga por pendrive...[/quote]

y en un analisis con Virus Total , vemos que son varios los virus que lo controlan:


[quote="VirusTotal"]File FotoMJ.exe received on 05.15.2008 11:01:05 (CET)

Current status: finished



Result: 15/32 (46.88%)

Compact Print results

Antivirus Version Last Update Result

AntiVir 7.8.0.17 2008.05.15 TR/Agent.AIAD

AVG 7.5.0.516 2008.05.14 SHeur.BDXO

BitDefender 7.2 2008.05.15 Trojan.Agent.AIAD

eSafe 7.0.15.0 2008.05.14 suspicious Trojan/Worm

F-Secure 6.70.13260.0 2008.05.15 Worm.Win32.VB.pg

GData 2.0.7306.1023 2008.05.15 Worm.Win32.VB.pg

Ikarus T3.1.1.26.0 2008.05.15 Trojan.Agent.AIAD

Kaspersky 7.0.0.125 2008.05.15 Worm.Win32.VB.pg

McAfee 5295 2008.05.14 W32/Autorun.worm.cc

Panda 9.0.0.4 2008.05.14 Generic Malware

Prevx1 V2 2008.05.15 Worm

Sophos 4.29.0 2008.05.15 Mal/SillyFDC-A

Sunbelt 3.0.1114.0 2008.05.12 Trojan.Agent.AIAD

Symantec 10 2008.05.15 W32.SillyFDC

Webwasher-Gateway 6.6.2 2008.05.15 Trojan.Agent.AIAD

Additional information

File size: 56320 bytes

MD5...: 4f2e1deca4815be5cddc8d4074f89f47 [/quote]

pero de lo que se trata es que con las utilidades disponibles en el foro, sin necesidad de cambiar de antivirus, se consiga controlar y eliminar, y para esto hemos desarrollado la 16.27 de ayer.



Pero para quien le pueda ser útil, ahí están los antivirus que ya lo controlan actualmente



saludos



ms, 15-05-2008

[Kurick]

no me sale el log entero, solo sale eso =/

me deberia salir un log amplio pero vez que se iniciaba el elistara me borraba el otro log

=/

y mmm, ahora trato de limpiar los pendrives de mi casa y elistara no quiere correr

dice que tengo que renovarlo y debo actualizarlo con la ultima version

y reviso y aun esta la misma

:(

que puedo hacer :S?

[msc hotline sat]

Mirar la fecha que tienes en el ordenador, igual es del año que viene o posteriores ... :mrgreen:



Y abre con el bloc de notas el C:\INFOSAT.TXT, lo ves ???



pues con un copiar y pegar nos lo pegas a tu proximo post de respuesta a este Tema



saludos



ms, 15-5-2008

[msc hotline sat]

Revisando esto del Elistraa, veo que el actual 16.27 lo ejecutaste tu mismo ayer, seguramente en otra máquina:



Wed May 14 16:15:58 2008

EliStartPage v16.27 (c)2008 S.G.H. / Satinfo S.L.



Aun estamos rascando el de hoy pero en esta, si la fecha está bien, actualiza a la de ayer, 16.27 que aun está en la web.



Dentro de una hora acabaremos la de hoy y tras probarla y validarla, la subiremoa para evaluar



saludos



ms, 15-05-2008

[msc hotline sat]

Revisando esto del Elistraa, veo que el actual 16.27 lo ejecutaste tu mismo ayer, seguramente en otra máquina:


[quote]Wed May 14 16:15:58 2008

EliStartPage v16.27 (c)2008 S.G.H. / Satinfo S.L.[/quote]

Aun estamos rascando el de hoy pero en esta, si la fecha está bien, actualiza a la de ayer, 16.27 que aun está en la web.



Dentro de una hora acabaremos la de hoy 16.28, y, tras probarla y validarla, la subiremos para evaluar



saludos



ms, 15-05-2008