Problema con msn (SOLUCIONADO)

carreta · Mensaje por **carreta** » 06 Ago 2008, 05:01

Hola amigos, pues tengo un problema con msn, creo que se me colo un virus que apenas y me deja cerrar sesion ... aqui dejo mi log de hijackthis a ver si me puede ayudar, muchas gracias!

Logfile of HijackThis v1.99.1

Scan saved at 22:54:57, on 05/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20583)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\nvraidservice.exe

C:\Archivos de programa\DAEMON Tools\daemon.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4C1.EXE

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\Archivos comunes\Mobipocket Shared\webcomp.exe

C:\Archivos de programa\uTorrent\uTorrent.exe

C:\Archivos de programa\Tuner Application\TVTimer.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe

C:\Archivos de programa\Winamp\winamp.exe

C:\WINDOWS\system32\pqmscm.exe

C:\Archivos de programa\Eset\nod32.exe

C:\Archivos de programa\Windows Live\installer\WLSetupSvc.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.657\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://descargar.mp3.es/index.php?rvs=hompag

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Administrador\csc.exe \s

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [EPSON Stylus C63 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4C1.EXE /P23 "EPSON Stylus C63 Series" /O6 "USB001" /M "Stylus C63"

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [Windows Messenger Live MSN] winlivemsnmessenger.exe

O4 - HKLM\..\Run: [pqmscm] C:\WINDOWS\system32\pqmscm.exe \u

O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\MsgPlusUninst.bat"

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [Mobipocket Web Companion] C:\Archivos de programa\Archivos comunes\Mobipocket Shared\webcomp.exe -m

O4 - HKCU\..\Run: [Microsoft Windows Installer] C:\Documents and Settings\Administrador\Datos de programa\Microsoft\dtsc\3702.exe

O4 - Startup: TV Timer.lnk = C:\Archivos de programa\Tuner Application\TVTimer.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O11 - Options group: [INTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{98DF410B-6E8F-43E2-B7AA-6236E9C4F931}: NameServer = 200.75.0.4 200.75.25.224

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: ihudwvyr - {b66e3b75-e1bc-4307-9a3a-ad54d8f0c4d1} - C:\Documents and Settings\All Users\Datos de programa\ihudwvyr.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe

carreta · Mensaje por **carreta** » 06 Ago 2008, 08:48

pase el msncleaner y el ccleaner en modo seguro y nada, continua con el problema, por lo que he leido es un virus que llega con las fotos de msn, con lo de "voy a subir estas fotos a facebook, dime como estan" o algo asi... al entrar a msn, le comienza a mandar a mis contactos lo mismo, infectandolos... asi que opte por no entrar hasta lograr solucionar esto...

saludos! ojala puedan ayudarme

Mensaje por **msc hotline sat** » 06 Ago 2008, 09:06

Se ven 4 ficheros sospechosos:

C:\WINDOWS\system32\pqmscm.exe

C:\WINDOWS\SYSTEM32\winlivemsnmessenger.exe

C:\Documents and Settings\Administrador\Datos de programa\Microsoft\dtsc\3702.exe

C:\Documents and Settings\All Users\Datos de programa\ihudwvyr.dll

Renombre su extension a .VIR y envienoslos para analizar e implementar su control y eliminacion, si procede, en nuevas versiones de nuestras utilidades.

Tras ello reinicia y nos informa del resultado.

Asi solo aparcaremos el problema, pero es para ver si es de lo que se trata ???

Aparte, si persiste el problema, puede lanzar este AV ONLINE y postearnos el informe resultante, donde veremos mals alla que el reducido informe del HJT:

[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred]~~[b]~~ SOLO TESTEO AV ONLINE[/b][/color][/url]

NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.

(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)

saludos

ms, 6 de Agosto de 2008

Mensaje por **msc hotline sat** » 06 Ago 2008, 09:24

Investigando mas al respecto del texto del mensaje, coincide con uno que se esconde en un CTFMON.EXE que no es el del office, pero podria ser que el que Vd tiene, aparentemente normal, fuera el del caso asi que busque este fichero: C:\windows\system32\CTFMON.EXE en su equipo y envienoslo igualmente y renombre su extension a .VIR, a ver si se confirma que es el bicho ...

El indicado engendro, tiene los siguientes textos para "colar", uno de los cuales coincide con el suyo:

[quote]
cabron, t perdiste el concierto de belanova la kagaste por no ir, cheka las fotos

mira las fotos del concierto de ayer, c puso buenisimo

se puso buenisimo el concierto de aier, t mando las fotos

komo no fuiste al concierto? te pude aber matado, mira las fotos

te mando las fotos del concierto de ricky martin k no fuiste por guey...

fotooooossss!!!!! ve d k t perdiste por no aber ido al concierto

estuvo poca madre el concierto, el proximo que haya tienes k ir conmigo

no puedo creer que no fueras al concierto, te mando las fotos para que veas como se puso

ya regrese de viaje, tome como 1000 fotos... literalmente

te mando las mejores fotos d mi viaje a paris, es otro nivel

esta rechingona la torre eiffel, checa las fotos

mira las fotos de mi viaje a europa, como no fuiste

pa que te kuenten, fotos tomadas por mi de la torre de piza

mira mis fotos del coliseo romano, te mando 3 nomas por ahorita

mi viaje a europa fue lo maximo, te mando algunas fotos pa que veas como estuvo

te tienes que ir de viaje a espaï¿½a, mira lo que te perdiste

quede enamorado de sicilia, tome algunas fotos para que veas que bonita esta la isla

por que no fuiste a la fiesta estuvo padrisima, mira las fotos

mira las fotos de la fiesta que no fuiste

te perdiste la fiesta, checa las fotos

hubieras ido a la fiesta se puso buenisima, aqui te mando las fotos

aqui te mando las fotos de la fiesta de hace unos dias

lo que te perdiste por no haber ido a la fiesta, te mando las fotos

te mando las fotos de la fiesta que no fuiste por flojo

por flojo te perdiste la superfiesta, aqui te mando 3 fotos nomas pa que veas como se puso

te mando algunas fotos pa que veas como se puso la fiesta de ayer

si hibas a la fiesta esto hibas a ligar, abre las fotos

hubo un incendio por mi casa y se quemo una fabrica, mira la nube de humo

mira la nube de humo que dejo un incendio por mi casa

otro nivel la nube de humo del incendio que hubo a unas cuadras, te mando las fotos

hubo un incendio a unas cuadras de mi casa mira como quedo todo

checa las fotos del incendio que hubo por mi casa, otro nivel

nunca habias visto una nube de humo como estas que estoy mandando

se quemo tooooodo a unas cuadras de mi casa por un incendio, checa las fotos

a poco estuvo de llegar el incendio a mi casa wey, mira que cerca quedo

por poquito y llegan las llamas a mi casa, te mando las fotos

ve lo que hizo este wey, no lo vas a creer

mira las fotos de lo que hizo este soberano pendejo

esto y si es estupidez, checa las fotos

checa las fotos de lo que hizo este bruto

a esto yo le llamo pendejez a lo maximo, te mando las fotos

te mando las fotos de la cosa mas estupida que podras ver en tu vida

te juro que jamas habia visto semejante cosa, checa las fotos

las fotos de la mayoy estupidez del mundo jajaja

nunca en tu vida te vas a topar con semejante estupidez

esto si que es otro nivel de pendejez, mira lo que hizo este bruto

mira lo que hizo este bruto en estas fotos

si te lo cuento no me lo crees, mira lo que hizo este pendejo

te mando las fotos de la persona mas estupida del mundo

la persona mas estupida del mundo haceindo la cosa mas estupida, mira las fotos

quiero subir estas fotos a facebook pero quiero que me digas primero que piensas

mira estas fotos que voy a subir a facebook

esta pensando si subo estas fotos a facebook

dime que piensas de estas fotos

voy a subir estas fotos a facebook, dieme si no estan muy bobas

creo que no deberia de subir estas fotos al facebook, dime que piensas

dime si crees que deba subir estas fotos al facebook

voy a subir estas fotos donde sales en el facebook

hay algo que no me gusta de estas fotos

tengo la solemne intencion de poner estas fotos en el facebook

estoy pensando cual de estos pantalones deberia comprarme

voy a ir acomprarme ropa, mira lo que esta pensando ver

me estoy decidiendo entre esta y esta camisa, dime que piensas

dime que piensas de estas dos camisas que me quiero comprar

no me decido por cual de estas dos camisas comprarme

te mando las fotos de estas camisas que me quiero comprar

quiero que me des tu opinion acerca de que pantalon comprarme

mira los tenis que me quiero comprar, estan poca madre

te mando fotos de los tenis que me quiero comprar

estan poca madres estos tenis, te mando las fotos

te mando las fotos de estas dos teles que quiero comprar

dime que piensas de estas dos teles que me quiero comprar

estoy pensando cual de estas teles me deberia comprar

voy a comprar un estereo, dime que piensas de este

estan poca madre estas dos teles, te mando las fotos pa que me digas cual esta mejor

dime cual esta mejor de estas dos teles que mando n las fotos

aqui tienes las fotos de las dos teles que tenia pensado comprarme

tenia pensado comprar una de estas dos teles, dime cual esta mejor

quiero que me des tu opinion acerca de estas dos teles que quiero

no me decido por cual de estas teles comprar, velas y dime

mira mi nuevo peinado, esta poka madre

te mando las fotos de mi nuevo peinado

mi nuevo gel esta d epoca madre, mira como me deja el kabello

ve como me deja el cabello mi nuevo gel

mira las fotos de mi cabello con mi nuevo gel

mi nuevo gel parece moco de gorila, ve como me queda

ve como queda el cabello con el nuevo gel que uso

esta de poca madre el gel que me compre, ve como de deja el cabello

checa como me queda el cabello con este nuevo gel jeje

aqui tienes las fotos de mi cabello con mi nuevo gel

acabo de comprar un juego nuevo checa que padre esta

mira el nuevo juego que acabo de comprar

quieres verel juego nuevo que compre ace unos dias

me compre un juego hace unos dias que esta padrisimo

compre un jeugo padrisimos ace unos dias

te mando las fotos de un juego que compre

aqui tienes las fotos del nuevo juego que tengo

tengo un juego nuevo que te va encantar, mira las fotos

el nuevo juego que compre esta buenisimo ve como esta

me akabo de comprar un juego que esta buenisimo, ve las fotos

porfin estoy estrenando auto, te mando las fotos

te mando las fotos del auto que estoy estrenando

mira las fotos de mi nuevo coche

estoy estrenando coche, quieres verlo?

quieres ver mi nuevo coche?

que crees, me acaba de comprar auto nuevo, quieres verlo

me acabo de comprar un auto nuevo hace unos dias, te mando las fotos pa que lo veas

mira mi nuevo auto, esta poca madre

ya me compre el coche que siempre habia querido, ve que bonito esta

porfin me pude comprar el auto de mis sueï¿½os, checa las fotos

mira las fotos del choche que hubo por mi casa

se dieron n la madre estos coches en un choque

hubo un accidente de la chingada en periferico, ve como quedaron los coches

ve como quedaron lso coches de este accidente

checa lo cabron que estuvo este accidente

asi quedaron los 3 coches que chocaron entre si

esto si es un verdadero choque, ve como estan los coches

han quedado los 2 coches dados en la madre despues del accidente

ve como se partio en dos este coche cuando paso debajo de un camion

esto es lo que pasa cuando vas a exceso de velocidad, mira como quedo el auto

mira mi nuevo perrito, esta monisimo

esta monisimo el perrito que me compre

me acabo de comprar un perro nuevo y esta precioso

esta precioso mi nuevo perrito

mira las fotos de mi perrito lo vas a amar

esta para amar mi perrito, te mando sus fotos

ya le tome mil fotos a mi perrito, te mando algunas

quieres ver el perrito que compre, acepta las fotos

acpeta las fotos de mi nuevo perrito, esta divino

esta increible mi nuevo perro, mira las fotos

ya llege a mi nueva escuela, mira las fotos

ya estoy n mi nueva ciduad y tome muchas fotos

porfin ya llegue a mi nueva ciudad y tengo algunas fotos

ya me instale en mi nueva casa y tome algunas fotos

ya tome las primeras fotos de mi nueva casa

ya tengo las fotos que te prometi

estoy oficialmente instalado en mi nueva casa y tome muchas fotos

tome un madrero de fotos de mi nueva casa

tome muchisimas fotos de mi nueva escuela

tengo miles de fotos de mis nueva escuela, miralas

tengo estas fotos de celebridades famosas que estan desnudas

porfin consegui las fotos de famosas desnudas que te prometi

ya tengo las fotos que te prometi de famosas

ayer me mandaron las fotos de la celebridades que te prometi

te acuerdas las fotos que te prometi de famosas desnudas, aqui estan

aqui estan las fotos de famosas desnudas que te abia prometido

consegui muchas fotos de celebridades desnudas que querias

ya baje como 200 fotos de famosas desnudas, te mando algunas pa que veas

te mando algunas de las fotos de famosas desnudas que baje

ya tengo lo que te habia prometido, te mando algunas fotos para que veas la calidad[/quote]

Para asegurarnos, suba ademas dicho CTFMON.EXE al VirusTotal y nos postea el informe resultante del escaneo de los 35 antivirus : https://www.virustotal.com/es/

saludos

ms, 6 de Agosto de 2008

carreta · Mensaje por **carreta** » 06 Ago 2008, 20:49

Muchas gracias por su rapida respuesta, les envio ya los archivos que me indicaron y ya hice el scan de Kasperzky online y aca pego el resultado del examen, en que se encontraron 9 virus.:

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

miércoles, 06 de agosto de 2008 14:47:30

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 6/08/2008

Registros en la base antivirus: 943580

-------------------------------------------------------------------------------

Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

K:\

L:\

Estadísticas:

Número de objeros analizados: 168254

Virus encontrados: 9

Objetos infectados: 30 / 0

Objetos sospechosos: 0

Duración del análisis: 02:18:46

Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\Archivos comunes\Mobipocket Shared\error_log.txt Object is locked saltado

C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\Eset\infected\JTV2TWAA.NQF Infectados: Trojan.Win32.Monder.gen saltado

C:\Archivos de programa\Eset\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked saltado

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\Quarantine\43DD1BDF.exe Infectados: Worm.Win32.AutoRun.aul saltado

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\Quarantine\673516AC.exe Infectados: Worm.Win32.Delf.ca saltado

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\Quarantine\681A11B0.exe Infectados: Worm.Win32.AutoRun.aul saltado

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\Quarantine\693D2A70.exe Infectados: Worm.Win32.AutoRun.sa saltado

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\Quarantine\69437E69.exe Infectados: Virus.Win32.AutoRun.da saltado

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\Quarantine\694A5262.exe Infectados: Trojan-PSW.Win32.Delf.abx saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\R42RX862\EULA[1].txt Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\R42RX862\unlimitedhosting[1].jpg Infectados: Trojan.Win32.Mondera.gen saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\i1ghpp0d.default\Cache\_CACHE_001_ Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\i1ghpp0d.default\Cache\_CACHE_002_ Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\i1ghpp0d.default\Cache\_CACHE_003_ Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\i1ghpp0d.default\Cache\_CACHE_MAP_ Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\i1ghpp0d.default\urlclassifier3.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Temp\66.exe Infectados: Trojan.Win32.Mondera.gen saltado

C:\Documents and Settings\Administrador\Configuración local\Temp\etilqs_5X4FcMxLyH05ZiJOM65T Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Temp\IH47.tmp Object is locked saltado

C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\csc.exe Infectados: Trojan.Win32.Mondera.gen saltado

C:\Documents and Settings\Administrador\Datos de programa\Babylon\log_file.txt Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\i1ghpp0d.default\cert8.db Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\i1ghpp0d.default\content-prefs.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\i1ghpp0d.default\cookies.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\i1ghpp0d.default\downloads.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\i1ghpp0d.default\formhistory.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\i1ghpp0d.default\key3.db Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\i1ghpp0d.default\parent.lock Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\i1ghpp0d.default\permissions.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\i1ghpp0d.default\places.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\i1ghpp0d.default\places.sqlite-journal Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\i1ghpp0d.default\search.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\$_hpcst$.hpc Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\system32\calc.exe Infectados: Trojan.Win32.Vaklik.cqf saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\dtscsi.sys Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\pqmscm.exe Infectados: Trojan.Win32.Mondera.gen saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

G:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

J:\biblioteca\H\Habermas Jurgen\Sobrepujamiento De La Filosofia Htm.ZIP/Habermas Jurgen - Sobrepujamiento De La Filosofia [htm].HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\H\Habermas Jurgen\Sobrepujamiento De La Filosofia Htm.ZIP ZIP: infectado - 1 saltado

J:\biblioteca\H\Heidegger Martin\Como Cuando En Dia De Fiesta Htm.ZIP/HEIDEGGER MARTIN - Como Cuando En Dia De Fiesta.HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\H\Heidegger Martin\Como Cuando En Dia De Fiesta Htm.ZIP ZIP: infectado - 1 saltado

J:\biblioteca\H\Heidegger Martin\Del Ultimo Curso De Marburgo Htm.ZIP/HEIDEGGER MARTIN - Del Ultimo Curso De Marburgo.HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\H\Heidegger Martin\Del Ultimo Curso De Marburgo Htm.ZIP ZIP: infectado - 1 saltado

J:\biblioteca\H\Heidegger Martin\Hegel El Amigo De La Casa Htm.ZIP/HEIDEGGER MARTIN - Hebel El Amigo De La Casa.HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\H\Heidegger Martin\Hegel El Amigo De La Casa Htm.ZIP ZIP: infectado - 1 saltado

J:\biblioteca\H\Heidegger Martin\Hegel Y Los Griegos Htm.ZIP/HEIDEGGER MARTIN - Hegel Y Los Griegos.HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\H\Heidegger Martin\Hegel Y Los Griegos Htm.ZIP ZIP: infectado - 1 saltado

J:\biblioteca\H\Heidegger Martin\La Doctrina De Platon Acerca De La Verdad Htm.ZIP/HEIDEGGER MARTIN - La Doctrina De Platon Acerca De La Verdad.HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\H\Heidegger Martin\La Doctrina De Platon Acerca De La Verdad Htm.ZIP ZIP: infectado - 1 saltado

J:\biblioteca\H\Heidegger Martin\Poeticamente Habita El Hombre Htm.ZIP/HEIDEGGER MARTIN - Poeticamente Habita El Hombre.HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\H\Heidegger Martin\Poeticamente Habita El Hombre Htm.ZIP ZIP: infectado - 1 saltado

J:\biblioteca\L\Leyte Coello Arturo\La Politica De La Historia De La Filosofia De Heidegger Htm.ZIP/Leyte Coello Arturo - La Politica De La Historia De La Filosofia De Heidegger [htm].HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\L\Leyte Coello Arturo\La Politica De La Historia De La Filosofia De Heidegger Htm.ZIP ZIP: infectado - 1 saltado

J:\biblioteca\P\Poggeler Otto\Heidegger Y Holderlin Htm.ZIP/Poggeler Otto - Heidegger Y Holderlin [htm].HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\P\Poggeler Otto\Heidegger Y Holderlin Htm.ZIP ZIP: infectado - 1 saltado

J:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

K:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

K:\torrents\Britain's Got Talent - Season 2\Britain's Got Talent - 2.6.avi Object is locked saltado

K:\torrents\Britain's Got Talent - Season 2\Britain's Got Talent - Semi-Final 1 - 2.8.avi Object is locked saltado

K:\torrents\Britain's Got Talent - Season 2\Britain's Got Talent - Semi-Final 3 - 2.10.mp4 Object is locked saltado

K:\torrents\Britain's Got Talent - Season 2\Britain's Got Talent - Semi-Final 4 - 2.11.avi Object is locked saltado

K:\torrents\Britain's Got Talent - Season 2\Britain's Got Talent - Semi-Final 5 - 2.12.avi Object is locked saltado

Análisis completado.

carreta · Mensaje por **carreta** » 06 Ago 2008, 21:09

Respecto a los archivos a enviar, solo encontre:

C:\WINDOWS\system32\pqmscm.exe

C:\Documents and Settings\All Users\Datos de programa\ihudwvyr.dll

ctfmon.exe

en tanto:

C:\Documents and Settings\Administrador\Datos de programa\Microsoft\dtsc\3702.exe

C:\WINDOWS\SYSTEM32\winlivemsnmessenger.exe

No los pude hallar, posiblemente ya limpiados por CCleaner o msncleaner . Igualmente pego un informe de hijackthis hecho nuevamente:

Logfile of HijackThis v1.99.1

Scan saved at 15:09:23, on 06/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20583)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Documents and Settings\Administrador\csc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\nvraidservice.exe

C:\Archivos de programa\DAEMON Tools\daemon.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4C1.EXE

C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\Archivos comunes\Mobipocket Shared\webcomp.exe

C:\Archivos de programa\Tuner Application\TVTimer.exe

C:\Archivos de programa\uTorrent\uTorrent.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\The KMPlayer\KMPlayer.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.141\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://descargar.mp3.es/index.php?rvs=hompag

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Administrador\csc.exe \s

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [EPSON Stylus C63 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4C1.EXE /P23 "EPSON Stylus C63 Series" /O6 "USB001" /M "Stylus C63"

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [Windows Messenger Live MSN] winlivemsnmessenger.exe

O4 - HKLM\..\Run: [pqmscm] C:\WINDOWS\system32\pqmscm.exe \u

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [Mobipocket Web Companion] C:\Archivos de programa\Archivos comunes\Mobipocket Shared\webcomp.exe -m

O4 - Startup: TV Timer.lnk = C:\Archivos de programa\Tuner Application\TVTimer.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{98DF410B-6E8F-43E2-B7AA-6236E9C4F931}: NameServer = 200.75.0.4 200.75.25.224

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: ihudwvyr - {b66e3b75-e1bc-4307-9a3a-ad54d8f0c4d1} - C:\Documents and Settings\All Users\Datos de programa\ihudwvyr.dll (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe

muchas gracias!

Mensaje por **msc hotline sat** » 06 Ago 2008, 21:27

Pues todos estos estan en CARPETAS DE CUARENTENA DE nod32 Y DE nORTON, ELIMINALOS:

C:\Archivos de programa\Eset\infected\JTV2TWAA.NQF Infectados: Trojan.Win32.Monder.gen saltado

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\Quarantine\43DD1BDF.exe Infectados: Worm.Win32.AutoRun.aul saltado

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\Quarantine\673516AC.exe Infectados: Worm.Win32.Delf.ca saltado

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\Quarantine\681A11B0.exe Infectados: Worm.Win32.AutoRun.aul saltado

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\Quarantine\693D2A70.exe Infectados: Worm.Win32.AutoRun.sa saltado

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\Quarantine\69437E69.exe Infectados: Virus.Win32.AutoRun.da saltado

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\Quarantine\694A5262.exe Infectados: Trojan-PSW.Win32.Delf.abx saltado

Y este está EN CARPETA TEMPORAL, eliminalo de allí con el ELITEMPO:

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\R42RX862\unlimitedhosting[1].jpg Infectados: Trojan.Win32.Mondera.gen saltado

pero estos hay que verlos:

C:\Documents and Settings\Administrador\Configuración local\Temp\66.exe Infectados: Trojan.Win32.Mondera.gen saltado

C:\Documents and Settings\Administrador\csc.exe Infectados: Trojan.Win32.Mondera.gen saltado

C:\WINDOWS\system32\calc.exe Infectados: Trojan.Win32.Vaklik.cqf saltado

C:\WINDOWS\system32\pqmscm.exe Infectados: Trojan.Win32.Mondera.gen saltado

y estos son clickers, eliminalos tambien:

J:\biblioteca\H\Habermas Jurgen\Sobrepujamiento De La Filosofia Htm.ZIP/Habermas Jurgen - Sobrepujamiento De La Filosofia [htm].HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\H\Habermas Jurgen\Sobrepujamiento De La Filosofia Htm.ZIP ZIP: infectado - 1 saltado

J:\biblioteca\H\Heidegger Martin\Como Cuando En Dia De Fiesta Htm.ZIP/HEIDEGGER MARTIN - Como Cuando En Dia De Fiesta.HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\H\Heidegger Martin\Como Cuando En Dia De Fiesta Htm.ZIP ZIP: infectado - 1 saltado

J:\biblioteca\H\Heidegger Martin\Del Ultimo Curso De Marburgo Htm.ZIP/HEIDEGGER MARTIN - Del Ultimo Curso De Marburgo.HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\H\Heidegger Martin\Del Ultimo Curso De Marburgo Htm.ZIP ZIP: infectado - 1 saltado

J:\biblioteca\H\Heidegger Martin\Hegel El Amigo De La Casa Htm.ZIP/HEIDEGGER MARTIN - Hebel El Amigo De La Casa.HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\H\Heidegger Martin\Hegel El Amigo De La Casa Htm.ZIP ZIP: infectado - 1 saltado

J:\biblioteca\H\Heidegger Martin\Hegel Y Los Griegos Htm.ZIP/HEIDEGGER MARTIN - Hegel Y Los Griegos.HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\H\Heidegger Martin\Hegel Y Los Griegos Htm.ZIP ZIP: infectado - 1 saltado

J:\biblioteca\H\Heidegger Martin\La Doctrina De Platon Acerca De La Verdad Htm.ZIP/HEIDEGGER MARTIN - La Doctrina De Platon Acerca De La Verdad.HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\H\Heidegger Martin\La Doctrina De Platon Acerca De La Verdad Htm.ZIP ZIP: infectado - 1 saltado

J:\biblioteca\H\Heidegger Martin\Poeticamente Habita El Hombre Htm.ZIP/HEIDEGGER MARTIN - Poeticamente Habita El Hombre.HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\H\Heidegger Martin\Poeticamente Habita El Hombre Htm.ZIP ZIP: infectado - 1 saltado

J:\biblioteca\L\Leyte Coello Arturo\La Politica De La Historia De La Filosofia De Heidegger Htm.ZIP/Leyte Coello Arturo - La Politica De La Historia De La Filosofia De Heidegger [htm].HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\L\Leyte Coello Arturo\La Politica De La Historia De La Filosofia De Heidegger Htm.ZIP ZIP: infectado - 1 saltado

J:\biblioteca\P\Poggeler Otto\Heidegger Y Holderlin Htm.ZIP/Poggeler Otto - Heidegger Y Holderlin [htm].HTM Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

J:\biblioteca\P\Poggeler Otto\Heidegger Y Holderlin Htm.ZIP ZIP: infectado - 1 saltado

Con lo cual te quedarán estos, de entrada renombra su extension a .VIR y envianoslos para analizar:

C:\Documents and Settings\Administrador\Configuración local\Temp\66.exe

C:\Documents and Settings\Administrador\csc.exe

C:\WINDOWS\system32\calc.exe

C:\WINDOWS\system32\pqmscm.exe

Tras todo ello, reinicia y ya no deberán ponerse en marcha todos estos malwares, cuentanos el resultado, gracias

saludos

ms, 6 de Agosto de 2008

carreta · Mensaje por **carreta** » 06 Ago 2008, 23:36

Listo, segui todos los pasos y hasta ahora no veo problemas, excepto que al reiniciar, Windows me pidio finalizar tarea del archivo "csc.exe" que se estaria ejecutando, siendo que estaba recien eliminado... el resto de los archivos solicitados los envie, y aqui pego un log de hijackthis recien obtenido:

Logfile of HijackThis v1.99.1

Scan saved at 17:36:39, on 06/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20583)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\nvraidservice.exe

C:\Archivos de programa\DAEMON Tools\daemon.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4C1.EXE

C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\Archivos comunes\Mobipocket Shared\webcomp.exe

C:\Archivos de programa\Tuner Application\TVTimer.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.563\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://descargar.mp3.es/index.php?rvs=hompag

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Administrador\csc.exe \s

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [EPSON Stylus C63 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4C1.EXE /P23 "EPSON Stylus C63 Series" /O6 "USB001" /M "Stylus C63"

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [Windows Messenger Live MSN] winlivemsnmessenger.exe

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [Mobipocket Web Companion] C:\Archivos de programa\Archivos comunes\Mobipocket Shared\webcomp.exe -m

O4 - Startup: TV Timer.lnk = C:\Archivos de programa\Tuner Application\TVTimer.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{98DF410B-6E8F-43E2-B7AA-6236E9C4F931}: NameServer = 200.75.0.4 200.75.25.224

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: ihudwvyr - {b66e3b75-e1bc-4307-9a3a-ad54d8f0c4d1} - (no file)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe

muchas gracias por todo!

carreta · Mensaje por **carreta** » 07 Ago 2008, 00:15

Y pues, siguen los problemas... con lo de mandarle a mis contactos lo de "dime que te parecen estas dos camisas que me quiero comprar..." y enviando un rar...

Espero su respuesta amigos ojala tenga solucion.

Claudia34 · Mensaje por **Claudia34** » 07 Ago 2008, 02:31

Pues en primer lugar te falta el service pack 3, realiza un windows update completo, ademas tienes instalado el daemon tools que por lo general contiene bichitos toxicos para la pc.

Saludos.

Mensaje por **msc hotline sat** » 07 Ago 2008, 06:45

Pues persiste este fichero:

winlivemsnmessenger.exe

subelo al virustotal, a ver si lo reconocen como malware: www.virustotal.com/es

y nos posteas el resultado, gracias

Aparte elimina esta clave:

O21 - SSODL: ihudwvyr - {b66e3b75-e1bc-4307-9a3a-ad54d8f0c4d1} - (no file)

En funcion de lo que veamos, procede renombrar la extension del fichero en cuestion a .VIR para que no se ponga en uso a partir del proximo reinicio...

y si tras todo ello persiste el problema, vuelve a lanzar el AV ONLINE que ya sabes y vuelve a postearnos el informe resultante, a ver qué queda ! :roll: :wink:

saludos

ms, 7 de Agosto de 2008

carreta · Mensaje por **carreta** » 07 Ago 2008, 19:14

Bien maldito el bicho que me agarre, opte anoche por formatear la partición C de mi PC y asi se eliminaron todos los problemas al parecer, al menos no los he tenido hasta ahora. No alcance a realizar las ultimas sugerencias pero igualmente les quedo eternamente agradecido de su buena disposición y buen animo para ayudar. Muchas gracias.

Mensaje por **msc hotline sat** » 07 Ago 2008, 19:18

Lástima porque nos quedamos sin controlar este sospechoso ~~[b]~~[i]winlivemsnmessenger.exe[/i][/b], pero en fin, muerto el perro, se acabó la rabia ...

Damos el Tema por solucionado y procedemos a cerrarlo

saludos

ms, 7 de Agosto de 2008

Problema con msn (SOLUCIONADO)

Problema con msn (SOLUCIONADO)

Re: Problema con msn

Re: Problema con msn

Re: Problema con msn

Re: Problema con msn

Re: Problema con msn

Re: Problema con msn

Re: Problema con msn

Re: Problema con msn

Re: Problema con msn

Re: Problema con msn

Re: Problema con msn

Re: Problema con msn