infectado mi menseeger (SOLUCIONADO)

[ricardo35]

hola

soy nuevo en este foro gracias a una persona que me lo a recomendado.

tengo un virus en mi pc y me entro de la siguiente manera:

estaba en una conferencia en internet cuando de repente una persona puso esto:_"MIRA ESTA ANIMACION DE BUSH-http://flash8.no.ip.biz"

pinche el link sin darme cuenta y de repente todas las ventanas del menseeger de mis contactos se abrieron continuamente enviando el link,sin enviarlo yo.

al rato todas las personas que recibieron este link les infecto,yo por supuesto les avise de que hera un virus pero algunas no les dio tiempo y se infectaron.

ahora cada vez que intento enviar un mensage por el menseeger me sale el link del virus y he tenido que desinstalar el menseeger.

por favor neceseto que ustedes me ayuden a solucionar este problema.gracias

[msc hotline sat]

Igual que todos los virus del messenger...



Pues prueba estas dos utilidades, y si no detectaran nada, nos envias el fichero que descarga el link, como indicamos en:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Igualmente haz lo mismo si en el infosat.txt resultante de probar el ELISTARA, indicara enviar alguna muestra:





[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 2-06-2008

[ricardo35]

HOLA

YA UTILICE EL "ELISTARA" Y ME DIO LOS SIGUIENTES ERRORES:



0000000.BAK-)BUSH(MSN)



LMINIT.DLL.VIR.VIR->remotodeadmin(Lmiinit)



GRACIAS POR TU AYUDA

[lucl]

Tiens que pegar el log de infosat completo que tendras en C, hazlo, saludos

[msc hotline sat]

Posiblemente allí veamos que has de enviar muestras para analizar. En tal caso, te adelanto:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 2-06-2008

[ricardo35]

perdona luci pero no entiendo mucho de informatica y no se como se hace eso que me dices si me pudieras especificar mejor te lo agradeceria



gracias

[msc hotline sat]

Abre con el bloc de notas (NOTEPAD) el fichero c:\infosat.txt, seleccionas todo su contenido con CTRL-E y lo copias (CTRL-C) y pegas (CTRL-V) en tu proximo post de respuesta a este Tema



saludos



ms, 2-06-2008

[flacoroo]

aparte de lo que te dice Msc....



si vez que dentro del archivo de texto a abrir tienes demasiados 01 mas de 20 solo copia la primera y nos pegas lo de mas de archivo en cuestion

[ricardo35]

perdonar mi ignorancia esto es todo lo que me sale en el block:



Mon Jun 02 06:24:07 2008

EliStartPage v16.40 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LMIINIT] -> C:\WINDOWS\SYSTEM32\LMIinit.dll

C:\WINDOWS\CSRSS.EXE --> Bush(msn) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\LMIINIT.DLL --> RemoteAdmin(lmiinit) Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "csrss"="C:\WINDOWS\csrss.exe"



Mon Jun 02 06:25:24 2008

EliStartPage v16.40 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\CSRSS.EXE.VIR --> Eliminado.

No detectado SP3 de Windows XP

No detectado SP3 de Windows XP



Mon Jun 02 06:26:49 2008

EliStartPage v16.40 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\PdmHist\884.EF10276401C8C4B3.history\00000000.BAK --> Acceso Denegado, Bush(msn) (Reiniciar para Completar la Limpieza)

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\PdmHist\884.EF10276401C8C4B3.history\00000001.BAK --> Acceso Denegado, RemoteAdmin(lmiinit) (Reiniciar para Completar la Limpieza)

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\PdmHist\b94.1A06672601C8C4B4.history\00000000.BAK --> Acceso Denegado, Bush(msn) (Reiniciar para Completar la Limpieza)

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

C:\Program Files\AIMP2\Icons\AIMP2.DLL --> Eliminado, Clicker.Small.TO

C:\Program Files\AIMP2\Icons\AIMP2_LIGHT.DLL --> Eliminado, Clicker.Small.TO

C:\Program Files\PcMedik\PCMEDIK.DLL --> Eliminado, Clicker.Small.TO

C:\Program Files\Skype\Plugin Manager\SPMSERVICES.DLL --> Eliminado, Clicker.Small.TO

C:\WINDOWS\system32\LMIINIT.DLL.000.BAK --> Eliminado, RemoteAdmin(lmiinit)

C:\WINDOWS\system32\LMIINIT.DLL.VIR --> Acceso Denegado, RemoteAdmin(lmiinit) (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 7410

Nº Total de Ficheros: 71677

Nº de Ficheros Analizados: 18440

Nº de Ficheros Infectados: 9

Nº de Ficheros Limpiados: 5



Mon Jun 02 07:59:26 2008

EliStartPage v16.40 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE



Mon Jun 02 08:00:04 2008

EliStartPage v16.40 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\LMIINIT.DLL.VIR.VIR --> Acceso Denegado, RemoteAdmin(lmiinit) (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 7495

Nº Total de Ficheros: 72158

Nº de Ficheros Analizados: 18739

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

[flacoroo]

dinos si ya se te resolvio el problema o lo sigues teniendo?

[ricardo35]

en un principio parece que si



habeis hecho algo para solucionarlo?



gracias por vuestra ayuda

[msc hotline sat]

y CUAL ES EL PROBLEMA AHORA ???



El último informe del ELISTARA solo detecta ya este con acceso denegado:



C:\WINDOWS\system32\LMIINIT.DLL.VIR.VIR --> Acceso Denegado, RemoteAdmin(lmiinit) (Reiniciar para Completar la Limpieza)





Si tras reiniciar aun está, eliminalo a mano, pero esto es mas bien una herramienta de hackeo para control remoto, considerarda PUP (Potencialmente Unwanted-no deseada- Peligrosa)



y si tienes alguna anomalia, indicanos cual, gracias



saludos



ms, 2-06-2008

[ricardo35]

no amigo

perdona,queria decir que ya lo tengo solucionado,quizas no me esprese bien

parece que ahora ya tengo resuelto el problema



muchisimas gracias

[lucl]

A tu pregunta de si hicimos algo para solucionar pues bueno fueron las herramientas que pasaste :lol: asi que dado que ya se arreglo tu problema cerramos el tema dandolo por solucionado, vuelve cuando quieras saludos