Me abre mucho ie

[DruSDeuS]

hola bueno les cuento mi pc al parecer tiene un virus que he tratado de quitarselo, lo que sucede es que al iniciar mi maquina lo primero que hace mi computadora es abrir paginas de internet (ie) la mayoria es un tipo de "mercadolibre" o bromas diciendo que ganaste y llega a frustarme me llega a abrir hasta 20 paginas :cry: :cry:

bueno aqui les pongo lo que hizo Hijackthis



Logfile of HijackThis v1.99.1

Scan saved at 12:01:19 DrusDeus, on 23/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Trend Micro\Internet Security 2007\pccguide.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\wincalc.exe

C:\Archivos de programa\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\PcScnSrv.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

c:\kliker.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\DrusDeus\Mis documentos\Hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Windows calculator] wincalc.exe

O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security 2007\pccguide.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\CCleaner.exe" /AUTO

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ThirdAnte] C:\DOCUME~1\DrusDeus\DATOSD~1\BITSCO~1\support poke.exe

O4 - HKCU\..\Run: [OE] "C:\Archivos de programa\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe"

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll (file missing)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Protección frente a spyware de Trend Micro (PcScnSrv) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcScnSrv.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe



al parecer segun mis ideas aqui el problema

O4 - HKCU\..\Run: [ThirdAnte] C:\DOCUME~1\DrusDeus\DATOSD~1\BITSCO~1\support poke.exe

al parecer este virus ya lo habia tenido y ya me habian resuelto en zonavirus con elistara pero hoy que lo he pasado no me lo ha detectado :(



C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\PcScnSrv.exe



eso no se que sea





ni esta :S

c:\kliker.exe



ayudenme porfavor :(



Gracias y salu2

[DruSDeuS]

bueno aqui tengo una pagina que me dice mi antivirus se le puede llamar "phishing" solo la pongo para que los moderadores puedan analizar no para infectar otras maquinas



[size=200][u][i][color=#FF0000]][b]MUCHO OJO MATERIAL PELIGROSO[/color][/b][/i][/u][/size]

<interceptado>


[quote]

No se deben postear direcciones de e-mail, y menos si supones que son phishing !!!



Otra vez envia el link a zomavirus@satinfo.es como si se tratara de un virus para analizar



Y no edites en Temas de otros usuarios !!! abre uno para eu caso si tienes necesidad de ello!


[/quote]

[msc hotline sat]

Pues envianos estos ficheros sospechosos para analizar:



C:\WINDOWS\wincalc.exe



c:\kliker.exe



C:\DOCUME~1\DrusDeus\DATOSD~1\BITSCO~1\support poke.exe



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 23-07-2008

[msc hotline sat]

Me olvidaba !!! Te falta instalar el SP3... Lanza un windosupdate y actualiza los parches !!!



saludos



ms, 23-07-2008

[DruSDeuS]

gracias y perdon por lo de la pagina tampoco tengo un xp original para parchar con sp3 ni descargar las actualizaciones pero ya lo comprare he enviado los archivos que me has mencionado el cliker.exe y support poke.exe (que viene en una carpeta que se llama bits copy real que contiene mas archivos .exe les he mandado toda la carperta) pero no encuentro el archivo wincalc.exe segun hijackthis esta en C/Windows pero no lo encuentro active mostrar archivos ocultos pero sigo sin encontrarlo y lo busque con el buscador de windows y me salio que esta en c/windows/prefetch y el archivo se llama wincalc.exe-005537f.pf me extraña que tenga 2 tipos de extensiones o que pasa aqui :S

Gracias y Salu2

[msc hotline sat]

Los .PF (Prefectch) son extractos para acelerar su carga, pero no nos sirven para monitorizar



Analizaremos los que nos hayas enviado e informaremos



saludos



ms, 27-07-2008

[msc hotline sat]

Pues en las muestras se detectan 1 clicker y en la carpeta 7 swizzors, todos los cuales pasamos a controlar con la nueva version 16-80 del ELISTARA de hoy



Esta tarde descargala, y tras probarla nos comentas el resultado, gracias:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



saludos



ms, 28-07-2008

[DruSDeuS]

._.

no puedo realizar la descarga me dice en la descarga "ELISTARA.%D8H%D8HB%D8%D8H.EXE Esta descarga ha sido bloqueada por la politica de su zona de seguridad zonavirus.com"



como le hago donde acepto politicas o que le piko a mi makina :(



Gracias

[Claudia34]

Ve a inicio, panel de control y luego busca "opciones de internet", lo abres y vas a la pestaña de "seguridad" colocas predeterminado a todas las zonas (bajas momentaneamente los niveles de seguridad) para poder descargarte de internet los elis.



Saludos.

[msc hotline sat]

Los "elis* " y los demas ficheros, pues seguramente lo tienes con seguridad alta y asi no puedes descargar nada, aunque los bichos siguen entrando :wink: !



Y si tienes algun problema con hacerlo desde esta maquina, lo descargas en otra y luego lo pasas a esta, simplemente copiando el fichero.



saludos



ms, 28-07-2008

[DruSDeuS]

Wed Nov 18 18:00:04 2009

EliStartPage v16.80 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Nov 18 18:00:11 2009

EliStartPage v16.80 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\KARINA2.EXE --> Eliminado, Klicker.A

C:\KLIKER.EXE --> Eliminado, Klicker.A

C:\Documents and Settings\All Users\Datos de programa\ABOUT TEAM INFO SECT\KNOB OKAY.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\DrusDeus\Datos de programa\Bits Copy Real\EBMRHIZZ.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\DrusDeus\Datos de programa\Bits Copy Real\MP3 GLUE BOLT.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\DrusDeus\Datos de programa\Bits Copy Real\ROAM WAVE 4 FREE.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\DrusDeus\Datos de programa\Bits Copy Real\SDNNDFFX.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\DrusDeus\Datos de programa\Bits Copy Real\SUPPORT POKE.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\DrusDeus\Datos de programa\Bits Copy Real\ZDPKUYIS.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\DrusDeus\Datos de programa\Bits Copy Real\ZHCRPBRG.EXE --> Eliminado, Swizzor(lop)

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\AUTORUN.EXE --> Acceso Denegado, AutoRun.DHA (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\SINTF32.DLL --> Eliminado, Spy-CmdLineExt

C:\WINDOWS\system32\SINTFNT.DLL --> Eliminado, Spy-CmdLineExt



Nº Total de Directorios: 3267

Nº Total de Ficheros: 48768

Nº de Ficheros Analizados: 11145

Nº de Ficheros Infectados: 13

Nº de Ficheros Limpiados: 12





AL PARECER NO KEDO MUY LIMPIA MI COMPUTADORA ME SIGUE APARECIENDO SOLO UNA PAGINA DE INTERNET (QUE POR CUESTIONES DE SEGURIDAD BORRADON EN MI POST ANTERIOR XD) Y SIGO VIENDO EL ARCHIVO QUE SE LLAMA KARINA2.EXE SE QUEDO EN C: COMO SI NO HUBIERA PASADO NADA XD.

BUENO EN ESTOS CASOS NO LO PUEDO BORRAR DICE EL ARCHIVO NO PUEDE SER ELIMINADO POR QUE ESTA SIENDO USADO AHORA QUE HAGO :(

[DruSDeuS]

CREO QUE ELISTARA NADAMAS ESPANTO A LOS SASSER XD :lol: :lol: :lol:



Logfile of HijackThis v1.99.1

Scan saved at 18:18:06 DrusDeus, on 18/11/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\wincalc.exe

C:\WINDOWS\system32\Notepad.exe

c:\karina2.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\DrusDeus\Mis documentos\Hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Windows calculator] wincalc.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\CCleaner.exe" /AUTO

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ThirdAnte] C:\DOCUME~1\DrusDeus\DATOSD~1\BITSCO~1\support poke.exe

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe (file missing)

O23 - Service: Protección frente a spyware de Trend Micro (PcScnSrv) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcScnSrv.exe (file missing)

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe (file missing)

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe (file missing)

O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe (file missing)







SIGUEN AHI CON JIHACKTHIS :(



O4 - HKCU\..\Run: [ThirdAnte] C:\DOCUME~1\DrusDeus\DATOSD~1\BITSCO~1\support poke.exe

O4 - HKLM\..\Run: [Windows calculator] wincalc.exe

C:\WINDOWS\wincalc.exe

C:\WINDOWS\system32\Notepad.exe

c:\karina2.exe



AHORA QUE HAGO :(

[msc hotline sat]

El infosat te decia:



C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\AUTORUN.EXE --> Acceso Denegado, AutoRun.DHA (Reiniciar para Completar la Limpieza)



Pues, debias obrar en consecuencia... :wink: Y REINICIAR !





Y como ves, eliminó los SWIZZORS que habiamos previsto !





Bueno, vamos a ver el log del HJT:



Ahi vemos nuevos sospechosos, envianos para analizar estos ficheros:





C:\WINDOWS\wincalc.exe



c:\karina2.exe



C:\DOCUME~1\DrusDeus\DATOSD~1\BITSCO~1\support poke.exe





y eliminar esta clave:



O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





saludos



ms, 29-07-2008

[DruSDeuS]

claro reinicie el sistema

c:windows/wincalc.exe como le habre dicho no esta en esa carpeta no hay ningun archivo que llame asi (nisiquiera oculto)

c.-karina2.exe le envio en este momento

C:\DOCUME~1\DrusDeus\DATOSD~1\BITSCO~1\support poke.exe ya no existe la carpeta se elimino la carpeta donde estaba BYTS COPY REAL (ya que no habia nada adentro) el sasser ya no esta como lo busco o que hago :s

[msc hotline sat]

Dice : "[b][i] el sasser ya no esta como lo busco o que hago"[/i][/b]



y quien ha hablado del sasser ???



y tiene residente este fichero, segun apartece el el log del HJT:



C:\WINDOWS\wincalc.exe



y no puede estar residente un fichero sin existir ... ??? busquelo bien dentro de la carpeta C:\windows\ y envienoslo si quiere que lo controlemos...



El otro fichero veo que ya lo controla el ELISTARA, ok.



Pues mañana analizaremos el fichero enviado, y el que le pedimos si lo encuentra, e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 29-07-2008

[DruSDeuS]

:P perdon swissor (C:\DOCUME~1\DrusDeus\DATOSD~1\BITSCO~1\support poke.exe) ya no existe la carpeta la elimine por cualquier residuo que pasara y JHT dice que sigue ahi O_O



[img]http://img519.imageshack.us/img519/5266/winvb2.jpg[/img]

como podra ver no tengo ningun archivo (nisiquiera oculto) llamado wincalc.exe en parte que le puse con el buscador y no hubo nada donde lo busco el JHT no se equivoca pero mi vision tampoco O_O



que esta pasando ingeniero

Salu2

[msc hotline sat]

Es posible que un RootKit esté impidiendo verlo.



Son dispositivos que ocultan determinados ficheros, procesos y claves, para hacernos mas fácil la vida ... :wink: , asi no vemos lo que hay realmente !



Arranca en modo seguro y mira de nuevo si lo ves o no, y si no lo ves, crea ahí dentro, una nueva carpeta con el nombre de WINCALC.EXE y si no la puedes crear es porque ya está ocupado dicho nombre, adivina por quien...



El HJT no se lo inventa, si dice que esta residente..., bueno abre el Administrador de Tareas si quieres, y lo veras.



saludos



ms, 29-07-2008

[DruSDeuS]

bueno ya hice lo que me pidio reinicie modo seguro y sigo sin ver wincalc.exe cree la carpeta y efectivamente no puedo utilizar el nombre pero ahora la pregunta del millon de dolares.... como hago para quitarlo?

digo de alguna forma entro de alguna forma debe de salir :p

ayudeme porfavor :(

[msc hotline sat]

Para poder contestarte hay que analizar dicho fichero..., por esto te lo estoy pidiendo :roll:



Como que está en la carpeta de c:\windows, se puede acceder a ella arrancando en consola de recuperacion, y asi copiarlo a otra parte, para podernoslo enviar, ademas de sacarlo de ahí, pero no lo elimines simplemente porque igual con él interceptan la ejeucion de algo, y sin él podría ser peor el remedio que la enfermedad.



Antes de eliminarlo hemos de analizarlo, por lo menos haz una copia por si hace falta volverlo a poner, ademas de poder enviarnoslo, claro



Para arrancar en consola de recuperacion, arranca con el CD de instalacion y pulsa R, acto seguido vas a dicha carpeta con "CD\windows" <enter> y con un "dir wincalc.exe /a /s" <enter> mira si lo ves



saludos





ms, 29-07-2008

[msc hotline sat]

Recibido un fichero KARINA2.EXE es un Klicker ya controlado con el ELISTARA 16.80 del lunes !



Comnpruebalo y posteanos el informe resultante.




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 30-07-2008

[msc hotline sat]

Y al revisar el Tema, visto que está pendiente lo del wincalc.exe, prueba el ELITRIIP actual, 5.02 y ya nos dirás si lo detecta y elimina:



ELITRIIP



---v5.02---(29 de Julio del 2008) (Muestras de IRCBot.EJC "WINCALC.EXE")






[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]



saludos



ms, 30-07-2008

[seraph1690]

hola como stan espeo q bien, buscando info, tope con esta pagina, y tengo exactamente el mismo problema q este tipo, los procesos wincalc.exe, kilksor.exe, kliksorka.exe y karina2.exe aparecen en mi compun todos estan en c:/ y wincalc esta en la carpeta d windows, wincalc lo controle un poco XD le cambie el nombre y le quite la extencion exe le puse "lolololo" sin extension, wincalc lo q me generaba era un error q aparecia d tres en tres cada determinado tiempo y hasta q no finalizara el arbol de procesos wincalc no dejaban de aparecer los errores, el error decia q no habia disco, lo d kliksor y esos tmb, ya trate de eliminarlos, directamente, mandarlos a cuarentena con antivirus (tngo el avg free) y siguen apareciendo, les enviare el wincalc aunque toadavia no leo sus tutoriales :P espero me puedan ayudar

[seraph1690]

olvide mencionar q entre mas tiempo pase el virus va haciendo cosa diferentes, la ultima vez la fecha q tuve fue de 17 de noviembre de 2009 a y eran las 00:53

[seraph1690]

olvido mencionar cosas cuando escribo; al analizar directamente los procesos, karina2.exe, kilksor.exe, etc, dice q son Backdoor.IRCBot.ejc

[lucl]

Debes abrir un post nuevo para ti, este es de otro forero, y en vez de poner lololo manten el nombre pero quitale la extension y ponle .VIR para que no se active, saludos

[msc hotline sat]

Y en tu Tema, posteanos el infosat.txt tras haber probado las siguientes utilidades:



[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Y seguiremos allá, pero deja este para que podamos darlo por solucionado en breve.



saludos



ms, 16 de Agosto de 2008