Ningun .EXE, QUE ONDA???

[MaRk_KoGa]

Mi problema esta asi, inicio mi lap y me dice que no se puede accesar al archivo OSA.EXE que es el de micrisoft office, y que tampoco se pudo accesar al archivo MEXICA.EXE el cual yo sabia que era un virus, tengo el NOD32 de antivirus, pero el mayor problema es que no puedo abrir nada, todos los archivos .EXE no se pueden abrir, me sale la ventana de "seleccione un progroma para poderlo" algo asi, llamese NOD32, CCLEANER, los ELI's, word, excel, power point,... lo que sea que quiera abrir, ahora los archivos ya guardados si los puedo abrir (un archivo de word, excel, PP, etc etc) pero tampoco puedo abrir simbolo de sistema, ni CMD, no puedo hacer mucho, que hago?? ojala y me entiendan lo que pasa y que me puedan ayudar de alguna forma. De antemano muchas gracias. SALU2

[lucl]

Pues eso puede ser indicativo entre otras cosas de algun bagle para ello pasa elibagla y veamos si te elimina alguno te dejo link de descarga





http://www.zonavirus.com/descargas/elibagla.asp



no se si podras ejecutarlo no obstante intentalo ademas en caso de no poder hacerlo peganos log de hijackthis y buscaremos claves viricas, saludos



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



IMPORTANTE: Edito para decirte que si tampoco puedes ejecutar hijackthis lo hagas arrancando el pc en modo seguro , pero solo el hijackthis , el elibagla no lo ejecutes de este modo ok? Podria ser peor el remedio que la enfermedad, saludos



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

[MaRk_KoGa]

Ok en un momento checo el HijackThis y ahora mismo informo de lo sucedido gracias. El elibagla por ser un archivo .EXE no lo puedo ejecutar. Gracias y salu2



EDIT:



Bueno despues de provar lo que me recomendaron y no obtener exito para ejecutar el programa HijackThis ya que es un .EXE (y ni en modo a prueba de errores de WINXP) que otra sugerencia me podrian dar?? :cry: espero pueda haber solucion a este mal!!! GRACIAS!!!

[koga]

Pruebe descargando:



ELIRESTR:

http://www.zonavirus.com/datos/descargas/92/elirestr.asp



Lo ejecuta y luego de ejecutarlo ejecuta el elibagla que le dejo en el link LUCL.

Nos comenta los resultados,





Saludos.







[b]Nota: Si al descargar el ELIRESTR el antivirus no lo deja, desactivelo ya que es un falso positivo que se da por el tipo de extension .VBS la cual usamos en los casos de estar bloqueados los .EXE[/b]

[MaRk_KoGa]

Muy bien pues mi salvacion fue el archivo ELIRESTR.VBS el cual no me dejaba descargar el NOD pero pues desactivando ya jalo, ese archivo tmb lo tuve que correr en modo a prueba de errores ya que en modo normal me marcaba el acceso denegado. Pero ya se recupero todo, pero que fue lo que sucedio alguien sabe?? y como puedo quitar el aviso de MEXICA.EXE que se genera cada vez que prendo la compu? ya lo quite con el MSCONFIG pero aun asi continua apareciendo la ventana de error. Ahora genere el archivo de HijackThis en la lap me podrian decir si existe algun problema aun en la lap?? Si es necesario que lo pase a alguna otra parte indiquenmelo por favor y una disculpa.



Logfile of HijackThis v1.99.1

Scan saved at 06:14:04 p.m., on 01/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.exe

C:\xampp\apache\bin\apache.exe

C:\WINDOWS\system32\Atievxx.exe

C:\xampp\mysql\bin\mysqld-nt.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe

C:\Archivos de programa\Compact Wireless-G USB Adapter Wireless Network Monitor\WUSB54GC.exe

C:\xampp\apache\bin\apache.exe

C:\Archivos de programa\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Java\jre\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe

C:\WINDOWS\system32\wuauclt.exe

E:\Instalaciones\Eli's\ELIBAGLA.%D8F%D8FB%D8%D8H.EXE

C:\Hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://prodigy.msn.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\mexica.exe

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Java\jre\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [mRouterConfig] C:\Archivos de programa\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Java\jre\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\jre\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\jre\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O23 - Service: Apache2.2 - Unknown owner - C:\xampp\apache\bin\apache.exe" -k runservice (file missing)

O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: WUSB54GCSVC - Unknown owner - C:\Archivos de programa\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe" "WUSB54GC.exe (file missing)



Gracias!!! ^^

[koga]

Pues claro que aun queda trabajo ya que la herramienta que le recomende solo restaura los permisos para ejecutar los .EXE y demas pero no borra al que lo ocaciona.

Le postie que luego de usar el ELIRESTR usara el Elibagla recomendado por lucl, y de paso aprovechemos para hacer una limpieza general, descargue estas 2 utilidades:



Elistara:

http://www.zonavirus.com/descargas/elistara.asp



Elitriip:

http://www.zonavirus.com/descargas/elitriip.asp



Una ves terminado de analizar con los 2 y tambien habiendo corrido el Elibagla, reinicia y nos postea el contenido del archivo C:\Infosat.txt como respuesta a este tema y un nuevo log de HJT.



Saludos.



[b]NOTA:[/b]Para eliminar el mensaje de Mexica pruebe eliminando esta clave :

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\mexica.exe

Para eliminarla ejecuta el HJT marca la el cuadrito a la derecha de la entrada y le da FIX CHECKED luego reinicia y nos comenta si ya no sale.

[MaRk_KoGa]

[b]HECHO!!! Ya le pase los 3 Eli's como me habias dicho Koga, el archivo InfoSat generado es el siguiente:[/b]



Tue May 13 15:23:15 2008

EliPen v1.6 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Wed May 21 15:23:06 2008

EliPen v1.6 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado E:\Autorun.inf

OPEN=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\AUTORUN.EXE

E:\Autorun.inf -> Renombrado a .OLD

Unidad E:\ Protegida



Wed May 21 15:23:35 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Wed May 21 15:23:43 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 27

Nº Total de Ficheros: 590

Nº de Ficheros Analizados: 33

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 21 15:43:04 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Wed May 21 15:43:14 2008

EliPen v1.6 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Wed May 21 15:43:19 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2131

Nº Total de Ficheros: 28586

Nº de Ficheros Analizados: 9542

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 21 17:05:53 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Wed May 21 17:06:03 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\SWF Studio\Plugins2\SYSINFO.DLL --> Eliminado, Malware.Zambrano

C:\Archivos de programa\Sendo\Sendo PC Connect\SCAGENDASYNCINTERFACE.DLL --> Eliminado, TopRebates

C:\System Volume Information\_restore{10518AB5-DE44-4267-A128-99B3EE0B0072}\RP228\A0030828.DLL --> Eliminado, Malware.Zambrano

C:\System Volume Information\_restore{10518AB5-DE44-4267-A128-99B3EE0B0072}\RP228\A0030829.DLL --> Eliminado, TopRebates



Nº Total de Directorios: 2131

Nº Total de Ficheros: 28686

Nº de Ficheros Analizados: 10319

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



Wed May 21 17:11:43 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 257

Nº Total de Ficheros: 2965

Nº de Ficheros Analizados: 618

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 21 17:12:47 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Thu May 22 20:52:58 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Thu May 22 20:53:06 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 52

Nº Total de Ficheros: 439

Nº de Ficheros Analizados: 107

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu May 22 20:57:28 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Thu May 22 20:57:37 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 259

Nº Total de Ficheros: 2968

Nº de Ficheros Analizados: 619

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu May 22 20:58:32 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Thu May 22 20:58:44 2008

EliTriIP v4.72 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 259

Nº Total de Ficheros: 2968

Nº de Ficheros Analizados: 508

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu May 22 20:59:19 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Thu May 22 20:59:24 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 259

Nº Total de Ficheros: 2968

Nº de Ficheros Analizados: 141

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu May 29 18:20:12 2008

EliStartPage v16.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 27 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Thu May 29 18:20:21 2008

EliStartPage v16.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 27 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2660

Nº Total de Ficheros: 34580

Nº de Ficheros Analizados: 13223

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Jun 01 18:02:34 2008

EliBagle v11.42 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 26 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Jun 01 18:02:37 2008

EliBagle v11.42 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 26 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2721

Nº Total de Ficheros: 35215

Nº de Ficheros Analizados: 5954

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Jun 01 18:13:21 2008

EliBagle v11.42 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 26 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Jun 01 18:13:23 2008

EliBagle v11.42 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 26 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2721

Nº Total de Ficheros: 35230

Nº de Ficheros Analizados: 5954

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Jun 01 19:17:27 2008

EliStartPage v16.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 27 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Jun 01 19:17:40 2008

EliStartPage v16.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 27 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2721

Nº Total de Ficheros: 34732

Nº de Ficheros Analizados: 13220

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Jun 01 19:23:40 2008

EliTriIP v4.73 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Sun Jun 01 19:23:45 2008

EliTriIP v4.73 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2721

Nº Total de Ficheros: 34733

Nº de Ficheros Analizados: 12139

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



[b]Y el archivo generado por el hijackthis es el siguiente que observando un poco ese archivo no el SMSS era de un viruz?? el que generaba la carpeta de RECYCLE o es parecido:[/b]



Logfile of HijackThis v1.99.1

Scan saved at 07:53:59 p.m., on 01/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\xampp\apache\bin\apache.exe

C:\WINDOWS\system32\Atievxx.exe

C:\xampp\mysql\bin\mysqld-nt.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe

C:\Archivos de programa\Compact Wireless-G USB Adapter Wireless Network Monitor\WUSB54GC.exe

C:\Archivos de programa\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Java\jre\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\xampp\apache\bin\apache.exe

C:\Hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Java\jre\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [mRouterConfig] C:\Archivos de programa\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Java\jre\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\jre\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\jre\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O23 - Service: Apache2.2 - Unknown owner - C:\xampp\apache\bin\apache.exe" -k runservice (file missing)

O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: WUSB54GCSVC - Unknown owner - C:\Archivos de programa\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe" "WUSB54GC.exe (file missing)



[b]Gracias nuevamente ^-^



[size=150]EDIT: Por cierto ya murio el mexica.exe al encender la compu, eso borrando el que me comentaste, solo que los ELI's no detectaron nada anormal para el problema de los .EXE y me extraña ya que la lap casi nunca la conecto a inter para que se haya contaminado de algo... espero haya solucion pa eso, gracias[/b][/size]

[koga]

Bueno vallamos por parte:



[b]1)[/b]El archivo smss.exe es un proceso que se encuentra en los sistemas operativos Windows 2000, NT4 y XP.

Smss.exe es el Subsistema Administrador de Sesiones (Session Manager Subsystem) y es un proceso esencial para el sistema.

Este proceso es el responsable de iniciar la sesión de usuario en Windows. Se encarga de cargar los procesos Winlogon y el Win32 (Csrss.exe).Este programa es importante para estabilidad y seguridad de su sistema y no deberia ser terminado. Nota importante: La ruta legitima de este archivo en el disco es esta: C:\WINDOWS\system32\smss.exe

De encontrarse en otra ruta es muy probable sea actividad virica.



[b]2)[/b]Ya que eliminada la clave se ha solucionado el problema porfavor envienos la muestra del archivo [b]C:\WINDOWS\system32\mexica.exe[/b] para ser analizado e implementada su eliminacion en las utilidades de la pagina si asi procede.

Si tiene alguna duda de como y donde enviar muestras vea el apartado:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



[b]3)[/b]No sabria decirle como se ha infectado con este [b]mexica.exe[/b] pues si no lo sabe usted... de todas formas no solo conectarse a internet es un riego, CD, Pendrive, Camaras digitales y otros dispositivos tambien pueden ser fuente de contagio...



Esperamos entonces la llegada de la muestra y se informara aqui mismo en el tema al respecto,







Saludos.

[MaRk_KoGa]

Bueno no estoy seguro del SMSS, pero me acuerdo que el virus ese asi se apodaba y como daba lata, de hecho uds lo trataron...



El mexica.exe la vdd que mas quiera poder enviarselos, pero como le hago?? segun lo veo en la cuarentena del NOD como lo saco de ahi o que onda?? en la cuarentena me indica 4 archivos: c:\imagenes.exe, c:\windows\system32\mexica.exe, c:\windows\temp\mexica.exe y el c:\windows\system234.exe. Que hago??



Bueno posiblemente fue con la USB, es el unico dispositivo que llego a conectar a la lap...



Otra cosa, cual seria el antivirus que me recomiendes mas?? si esta bien que use el NOD32?? lo tengo con un parche para unos tantos miles de años de descargas gratuitas o existe otro que me recomiendes mas??



Gracias ^-^

[msc hotline sat]

Y mientras nos envia el fichero [b][i]MEXICA.EXE[/i][/b] para analizar y controlar, sobre como ha entrado un virus, vea lo que indica el infosat sobre :


[quote]Wed May 21 15:23:06 2008

EliPen v1.6 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado E:\Autorun.inf

OPEN=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\AUTORUN.EXE

E:\Autorun.inf -> Renombrado a .OLD[/quote]

Tenía, y quizas aun tiene, este AUTORUN.EXE en uno de sus pendrives, y por insertarlo antes que lo vacunara, infectaba todos los PC con el virus que contenía, pues el AUTORUN.INF lo lanzaba. Ahora ya dicho AUTORUN.INF se renombró a AUTORUN.OLD gracias al ELIPEN, y con ello se terminó la propagacion, si bien el virus sigue estando allí



Por ello revise sus pendrives y examinelos con el ELISTARA, en alguno de ellos encontrará y eliminará dicho virus.


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de



C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 2-06-2008

[msc hotline sat]

Sobre este MEXICA.EXE es conocido como:



Trojan Horse [Symantec]

Worm.Small.WQF [PC Tools]

Generic Spy.e [McAfee]

Worm.Win32.Small.ag [Kaspersky Lab]



y estan relacionados los siguientes ficheros:



c:\windows\system32\mexica.exe

c:\windows\system234.exe

c:\windows\temp\mexica.exe

c:\imagenes.exe



Asi que envienos estos que dice tener en cuarentena ya que son los mismos que los indicados, y para ello, recuerde:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 2-06-2008





NOTA: [quote="msc"]y sobre el smss.exe en este caso era normal al estar en la carpeta de sistema. Lo que le pasó de que no le funcionaba nada es porque en lugar de restaurar esta clave que se veia en el primer log de HJT:



F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\mexica.exe



la eliminó, eliminando con ello tambien la carga del EXPLORER.EXE !



En lugar de ello debía haberse corregido, con el ELISHELL , que hubiera dejado en dicha clave la parte del EXPLORER y eliminado la del MEXICA...



Luego el ELIRESTR que elimina restricciones, regeneró dicha clave. ms.[/quote]

[koga]

El SMSS.exe que usted tiene es legitimo como se lo indique asi que no se preocupe, por otra parte le deje el link sobre como enviar muestras que msc repitio en el podra informarse sobre como enviarla.



Sobre que antivirus usar, es solo cosa de gustos, puede conservar ese si lo desea o cambiarlo, en el foro hay tambien temas con distintas opiniones de usuarios y administradores al respecto puede buscar si lo desea.

Una [b][i]vez[/i][/b] que se [b][i]reciva[/i][/b] la muestra completaremos la limpieza,





Saludos.

[msc hotline sat]

para la eleccion del antivirus, vea la opñinion de nuestros foreros en:



https://foros.zonavirus.com/viewtopic.php?f=12&t=5051



ms.

[MaRk_KoGa]

Varias de las cosas que enviaron no las entiendo del todo, pero lo del AUTORUN.INF es una carpeta que creo el ELIPEN, xq la cambio a .OLD??? Y lo del RECYCLE que onda tmb??



Y ya envie los archivos que se encontraban en la carpeta cuarentena, asi tal cual ya que no se puede separar ninguno, al menos yo no se como, en un RAR con contraseña, espero le puedan hacer algo.



Gracias por todo!!! ^-^

[msc hotline sat]

Las muestras las analizaremos hoy en SATINFO, e informaremos.



Lo que dices no entender...

[b][i]

"Varias de las cosas que enviaron no las entiendo del todo, pero lo del AUTORUN.INF es una carpeta que creo el ELIPEN, xq la cambio a .OLD??? Y lo del RECYCLE que onda tmb?? "[/i][/b]



a ver si te sirve esto:



La tecnica de los virus de pendrive es utilizar la caracteristica de windows de autoejecucion del fichero AUTORUN.INF (para que los CD arranquen solo con ponerlos) en las unidades donde se encuentren al acceder a ellas, y en el caso de los pendrives, por simple insercion de ellos en el port USB.



Normalmenmte no deben haber AUTORUN.INF en los pendrive, salvo aplicaciones muy especiales, por lo que lo probable si se tiene un AUTORUN.INF en un pendrive es que sea parte de un virus, y con ello se autolance infectando los oredenadores a los que se conecta.



Para proteger contra la propagacion de virus por pendrive hacemos dos cosas: Cambiamos en los ordenadores la politica de windows de autoejecutar dichos AUTORUN.INF y solo dejamos que lo haga desde unidades de CD, salvo que el usuario programe lo contrario , y en los pendrives y unidades que quieran protegerse, si existe un AUTORUN.INF lo renombramos a .OLD para no perderlo y asi ver loque hacía, pero con ello lo dejamos aparcado fuera de circulacion, y en su lugar creamos una carpeta protegida con el nombre de AUTORUN.INF para que no pueda crearse nigun fichero con dicho nombre, al estar ocupado por dicha carpeta,



Ademas algunos de estos ficheros malwares los esconden en carpetas ocultas, y con nombre de la papelera (RECYCLER) para despistar al usuario



Fijese que el ELIPEN indicó:



EliPen v1.6 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado E:\Autorun.inf

OPEN=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\AUTORUN.EXE

E:\Autorun.inf -> Renombrado a .OLD



O sea que encontró un AUTORUN.INF que lanzaba un AUTORUN.EXE que estaba dentro de una carpeta RECYCLER ... y todo ello oculto, claro !



Creo que está todo claro, no ?



Y ya puestos, veo que utilizó un ELIPEN 1.6 cuando actualmente la actual es la 1.8, con muchas mejoras en proteccion tanto de ordenador como de pendrives. Bajese la version actual y vuelva a probarla y procesar sus pendrives, es conveniente!



saludos



ms, 2-06-2008

[MaRk_KoGa]

Ahhh ok!! Perfecto, comprendido de lo que hace eso, dices que se van a actualizar hoy no?? mañana lo descargo para estar al dia y haya menor problema.



Ya envie lo de mexica.exe, espero haya llegado sin problemas y puedan hacer algo con el asi a como lo envie, espero asi sea, estare en la escuela de eso ya que lo habia visto en otra compu y no habia sabido que hacer con el mas que desactivarlo con el MSCONFIG.



De antemano muchas gracias por todo y sus atenciones, seguire checando que encuentro por aqui en la zonavirus, esta muy interesante.



Hasta pronto!!

[msc hotline sat]

Cada dia se analizan las muestras que se reciben y se implementan en las nuevas versiones de las utilidades las que proceden, lo cual se informa puntualmente a este foro cuando se suben.



saludos



ms, 2-06-2008

[msc hotline sat]

Recibidas las muestras pasamos a controlarlas con el ELISTARA de hoy 16.41



Pero aqui habia dos virus (por lo menos):



Uno, este del MEXICA.EXE



Y otro el del AUTORUN.EXE, que si no lo conoce este ELISTARA, pedirá muestras, las cuales debe enviarnos como lo ha hecho.



Para ello pruebe el ELISTARA explorando no solo el disco duro, sino tambien las unidades de pendrive, que es donde de detectó.





[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 2-06-2008