VIRUS...ME CAMBIA LA FECHA

[pedrosterling]

Buenas tardes....

Tengo un virus que me cambia la fecha de la barra de tareas. No se por que, este virus me colocó 2002.

Ademas de esto, dice que es un ROOTKIT/AUTORUN.gen

Asi lo detecta el panda antivirus 2008......y se aloja en el c:\windows\system32\drivers....lo elimina, pero al reiniciar la PC, lo tiene de nuevo...

En otra computadora que tenemos aquí, el NOD32, lo detecto....pero no lo borra....

gracias de antemano....

[Claudia34]

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt

http://www.zonavirus.com/descargas/elitriip.asp

Y para complementar (opcional en algunos casos):

viewtopic.php?f=5&t=18469


Y compleméntalo posteándonos el Log del HJT:


HJT: (HiJackThis)

¿Como utilizar el Hijackthis?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/tren ... ckthis.asp
Tras analizarlo, informaremos.
Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.
Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

¿Como arrancar en modo a prueba de fallos?
http://www.zonavirus.com/articulos/como ... fallos.asp

Opcional:


Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.
También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.

Y para el tema de los autorun descargate del siguiente enlace el elipen:

http://www.zonavirus.com/descargas/elipen.asp

Saludos.

[msc hotline sat]

Aparte de lo indicado por Claudia34, ya que te lo detectan tus antivirus, puedes probar con ellos mismos pero arrancando en modo seguro y desactivando las restauración de sistema, para que no esté en uso y asi no esté modificando o protegiendose.

Comentanos el resultado, gracias

saludos

ms, 18 de Agosto de 2008

[pedrosterling]

Aqui esta el LOG de Eliptrip....y Elistara


Mon Aug 18 09:04:55 2008
EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\CKVO0.DLL.VIR --> Eliminado.
Eliminado Servicio, "mchInjDrv"
Eliminada Carpeta "%Archivos de Programa%\MyWebSearch"
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (C)
 open=c9hehpa.bat
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

	  Mon Aug 18 09:05:56 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   314
Nº Total de Ficheros:      2109
Nº de Ficheros Analizados: 891
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Exploración Detenida por el Usuario.

	  Mon Aug 18 09:06:54 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (C)
 open=c9hehpa.bat
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

	  Mon Aug 18 09:07:08 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\GNU\MPEG2\UNINSTALL.EXE --> Eliminado, BB CashBack (Uninst)
C:\Archivos de programa\MSN Messenger\RICHED20.DLL --> Eliminado, MyWebSearch
C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek
C:\Documents and Settings\MI PC\Escritorio\Utilidades\codec para pelicu\MPEG2DSSETUP.EXE --> Eliminado, BB CashBack (Uninst)
C:\Documents and Settings\MI PC\Mis documentos\Downloads\RCSETUP.EXE --> Eliminado, P2PAdware.A

Nº Total de Directorios:   5168
Nº Total de Ficheros:      62064
Nº de Ficheros Analizados: 12276
Nº de Ficheros Infectados: 5
Nº de Ficheros Limpiados:  5

	  Mon Aug 18 09:11:31 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   44
Nº Total de Ficheros:      453
Nº de Ficheros Analizados: 80
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Exploración Detenida por el Usuario.

	  Mon Aug 18 09:12:07 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP

	  Mon Aug 18 09:12:28 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP

	  Mon Aug 18 09:12:31 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Mon Aug 18 09:16:03 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinDir%\PeerNet"
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (C)
 open=c9hehpa.bat
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

	  Mon Aug 18 09:16:21 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   5178
Nº Total de Ficheros:      62060
Nº de Ficheros Analizados: 12267
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Mon Aug 18 09:21:34 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP

	  Mon Aug 18 09:21:37 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\MI PC\Escritorio\Utilidades\everest ultimate 2007(2).exe --> Eliminado, Bifrose(dropper)
C:\UTILIDADES LUISA\everest ultimate 2007(para informacion del PC).exe --> Eliminado, Bifrose(dropper)

Nº Total de Directorios:   5178
Nº Total de Ficheros:      62060
Nº de Ficheros Analizados: 11297
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  2

Aqui esta el LOG de Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 09:27:41 a.m., on 18/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ÍøÕ¾ÅÅÃû¹¤¾ßÌõBHO - {489873CE-F3E1-44A3-8E89-04BE26BE4446} - C:\Archivos de programa\zzToolBar\Toolbar_bho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ÍøÕ¾ÅÅÃû¹¤¾ßÌõ - {0A1230F1-EB52-4CA3-9D34-DE2ABC2EED35} - C:\Archivos de programa\zzToolBar\ToolBand.dll
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\ARCHIV~1\MYWEBS~1\bar\5.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [22h4efe] %systemroot%\system32\Rundll32.exe  %systemroot%\system32\22h4efe.dll,DllUnregisterServer
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/229?745e685b9b644f0a8fd7a8bbb88e246b
O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/230?745e685b9b644f0a8fd7a8bbb88e246b
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ֪ʶ¿â - {06926B30-424E-4f1c-8EE3-543CD96573DC} - http://blank.la/?h (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Windows Networks - Unknown owner - C:\Archivos de programa\NetMeeting\inetsock.exe (file missing)

[msc hotline sat]

Pues de entrada debes actualizar los parches de microsoft e instalar el SP3 y los que encuentres pendientes de actualuizar, con un windowsupdte.

Luego vemos que has eliminado un OBLINE GAMES, y que tienes estos ficheros:

Detectado AUTORUN.INF en la Unidad (C)
open=c9hehpa.bat
Si Desconoce la Aplicación, por favor envienosla

envianos pues el AUTORUN.INF y el C9HEHPA.BAT para pasar a analizarlos y controlarlos, y visto que tienes virus de pendrive, vacuna tu ordenador y unidades pendrives con el ELIPEN:

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Y pasamos a analizar el log del HJT... pues gracias a ello procede con lo siguiente:

y renombra estos ficheros a .VIR:


C:\Archivos de programa\zzToolBar\Toolbar_bho.dll
C:\Archivos de programa\zzToolBar\ToolBand.dll
C:\ARCHIV~1\MYWEBS~1\bar\5.bin\M3PLUGIN.DLL,UPF
C:\WINDOWS\system32\ckvo.exe

y tras ello, envianoslos para analizar




y elimina esta clave:

O9 - Extra button: ֪ʶ¿â - {06926B30-424E-4f1c-8EE3-543CD96573DC} - http://blank.la/?h (file missing)


saludos

ms, 18 de Agosto de 2008

[pedrosterling]

como renombro los archivos a .VIR?.....

es como renombrar normalmente un archivo cualquiera?...

ah....aqui les envío el LOG de Elipen:


Mon Aug 18 14:40:41 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Código: Seleccionar todo

Detectado C:\Autorun.inf
OPEN=C9HEHPA.BAT
C:\Autorun.inf -> Renombrado a .OLD
Unidad C:\ Protegida

Unidad C:\ YA esta Protegida

[msc hotline sat]

Sí, boton derecho sobre el icono del fichero, CAMBIAR NOMBRE y le pones .VIR en lugar de la extension o despues de la extension, da igual la ultima es la que cuenta.



saludos



ms, 18 de Agosto de 2008

[pedrosterling]

Con el Eliptrip...Elistara....Elipen.....y ademas de desinstalar el Panta Antivirus 2008, por que no me parecia muy confiable....le instale a la computadora el Avast 2008. Profesional.....le encontro mas de 20 virus....



Lo que considero malo del avast es que muchas de las veces...no renombra los archivos, ni los envia al vaul para su analisis, :!: Sino que los elimina :!: ...y si el virus esta en algun archivo de windows...este no arranca bien...ya le paso a la otra computadora que les mencione....por lo cual..me decidi a probar el mcafee total protection 2008...



Les envie la muestra del virus AUTORUN.INF, pero en fichero Winrar, no Winzip, espero que no existan problemas por ello, por lo demas. la PC parece estable, y digo parece, porque ahora el ARES, se conecta pero no baja ningun archivo...es otro problema a solucionar...



Ademas no puedo borrar el archivo en la extension....C:\ARCHIV~1\MYWEBS~1\bar\5.bin\M3PLUGIN.DLL,UPF

al arrancar la PC...me da un mensaje de error diciendo que no existe....

[flacoroo]

lo puedes eliminar con fix de HijackThis.....buscas la entrada, la habilitas y eliminas estas tambien....

Código: Seleccionar todo

O2 - BHO: ÍøÕ¾ÅÅÃû¹¤¾ßÌõBHO - {489873CE-F3E1-44A3-8E89-04BE26BE4446} - C:\Archivos de programa\zzToolBar\Toolbar_bho.dll
O3 - Toolbar: ÍøÕ¾ÅÅÃû¹¤¾ßÌõ - {0A1230F1-EB52-4CA3-9D34-DE2ABC2EED35} - C:\Archivos de programa\zzToolBar\ToolBand.dll
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\ARCHIV~1\MYWEBS~1\bar\5.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\RunOnce: [22h4efe] %systemroot%\system32\Rundll32.exe %systemroot%\system32\22h4efe.dll,DllUnregisterServer
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O9 - Extra button: ֪ʶ¿â - {06926B30-424E-4f1c-8EE3-543CD96573DC} - http://blank.la/?h (file missing)

nos dices como te fue y como va tu compu......tambien elimina el Ares, posiblemente ya este corrupto....ya cuando tu compu vaya bien lo vuelves a instalar.....

[msc hotline sat]

Da igual en ZIP o en RAR, pero no solo el AUTORUN.INF, sino tambien el C9HEHPA.BAT que lanza y los demás que ya le indicabamos, aparte de renombrar todos ellos a .VIR, para que así ya estén aparcados fuera de uso.



saludos



ms, 21 de Agosto de 2008

[pedrosterling]

ok.....voy a arreglar las entradas que me indicaron, que aun no lo he hecho....voy a desinstalar el ares y voy a buscar el archivo C9HEHPA.BAT....para enviarlo.....muchas gracias... :D

[msc hotline sat]

No solo este, recuerde lo que le deciamos:

y renombra estos ficheros a .VIR:


C:\Archivos de programa\zzToolBar\Toolbar_bho.dll
C:\Archivos de programa\zzToolBar\ToolBand.dll
C:\ARCHIV~1\MYWEBS~1\bar\5.bin\M3PLUGIN.DLL,UPF
C:\WINDOWS\system32\ckvo.exe

y tras ello, envianoslos para analizar

saludos

ms, 22 de Agosto de 2008

[pedrosterling]

bueno, me parece la verdad muy extraño, solamente localice los archivos toolbar_bho.dll y el toolband.dll, ambos estan renombrados a .vir.....y enviados para su análisis...

Los archivos que no localizo en la computadora son los siguientes...
C:\ARCHIV~1\MYWEBS~1\bar\5.bin\M3PLUGIN.DLL,UPF
C:\WINDOWS\system32\ckvo.exe
C9HEHPA.BAT

el primero lo busque como m3plugin.dll.....tambien como m3plugin.dll,upf......y como m3plugin.ddd.upf.....no lo consegui en mi PC.... ....

No sera porque pase el HJT...y limpió las entradas erroneas ..

[msc hotline sat]

El HJT no modifica nada salvo que se marquen las casillas y se le indique FIX CHEXCKED, ademas, las claves es justamente lo que persiste, no los ficheros, y estos no son tocados por dicha utilidad.

Mire que no tengan atributo de sistema o/y de ocultos:

viewtopic.php?f=5&t=13245

lo que sí que puede ser es que antivirus o utilidades al respecto los hayan eliminado, y queden restos de claves pero en tal caso ya no incordiarían..

saludos

ms, 24 de Agosto de 2008

[pedrosterling]

gracias por la pronta respuesta, sin embargo, al introducir el pentdrive....con el avast 4.8 me detectó un malware...

la extensión es c:\windows\system32\drivers\klif.sys......

el malware es....win32-Rootkit-gen[RTK]......

le doy la opcion eliminar...y tras de reiniciar la PC.....otra vez esta el malware....

Reinicie la PC nuevamente y corrí en modo seguro....pasando a las unidades C:\....y E:\....el Elipen....Elistara....Eliptrip...

Aqui estan los Log...


Sun Aug 24 12:13:38 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Código: Seleccionar todo

Detectado E:\Autorun.inf
OPEN=YSSJNNGM.CMD
E:\Autorun.inf -> Renombrado a .OLD
Unidad E:\ Protegida

Unidad E:\ YA esta Protegida

Sun Aug 24 12:19:24 2008
EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP

	  Sun Aug 24 12:19:32 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   5498
Nº Total de Ficheros:      64668
Nº de Ficheros Analizados: 12418
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Sun Aug 24 12:23:55 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios:   13
Nº Total de Ficheros:      173
Nº de Ficheros Analizados: 13
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Sun Aug 24 12:24:20 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\CKVO.EXE.Muestra EliStartPage v16.84
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\CKVO.EXE --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\CKVO0.DLL.Muestra EliStartPage v16.84
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\CKVO0.DLL --> Eliminado 
Entrada Eliminada [HKCU\...\Run] "kamsoft"="C:\WINDOWS\system32\ckvo.exe"
Eliminada Carpeta "%WinDir%\PeerNet"
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sun Aug 24 12:24:32 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   5492
Nº Total de Ficheros:      63922
Nº de Ficheros Analizados: 13107
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Sun Aug 24 12:29:54 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\CKVO.EXE.Muestra EliStartPage v16.84
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\CKVO.EXE --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\CKVO0.DLL.Muestra EliStartPage v16.84
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\CKVO0.DLL --> Eliminado 
Entrada Eliminada [HKCU\...\Run] "kamsoft"="C:\WINDOWS\system32\ckvo.exe"
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sun Aug 24 12:30:00 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios:   13
Nº Total de Ficheros:      174
Nº de Ficheros Analizados: 43
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

El windows de esta PC..es SP2....no es original....es decir...no puedo realizar el windows update, también les envío las muestras del fichero que salen en el análisis de Elistara....muchas gracias..

[msc hotline sat]

Pues el pendrive tenía un AUTORUN que lanzaba el fichero YSSJNNGM.CMD al insertarlo en cualquier ordenador...:

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------
Detectado E:\Autorun.inf
OPEN=YSSJNNGM.CMD

Y el ELIPEN ya ha renombrado dicho AUTORUN, y posiblemente este YSSJNNGM.CMD es parte del ONLINE GAMES detectado por el ELISTARA

Envianos estos ficheros para analizar y controlar:
C:\Muestras\CKVO.EXE.Muestra EliStartPage v16.84
C:\Muestras\CKVO0.DLL.Muestra EliStartPage v16.84
E:\YSSJNNGM.CMD

Y ya que nos dice de que, al introducir el pendrive, el Avast le detectó este infectado c:\windows\system32\drivers\klif.sys...... envienoslo tambien y lo analizaremos (posiblemente sea parte del mismo anterior)

¿Como enviar las muestras a zonavirus? - Para ello recordar: viewtopic.php?f=5&t=14253

saludos
ms, 24 de Agosto de 2008

[bmiguelito]

un saludo a los del foro yo tengo el mismo problema y poreso quisiera saber si todavia estan tratando de resolver este caso

[msc hotline sat]

Para "bmiguelito", mejor abre un Tema para tí, cada caso es especial dado que hay muchas variantes.



De todas formas ve haciendo lo que aqui se ha indicado.



saludos



ms, 26 de Agosto de 2008

[bmiguelito]

esta bien solo una sugerencia cuando avancen en esto sera q me pueden notificar esq tengo 6 maquinas de 9 con el mismo problema y por eso queria saber que mas sigue porq es casi o exactamente lo q a mi me esta pasando

[msc hotline sat]

No se avisa particularmente en el foro. Si quieres, al editar un post, marca la casilla de "Enviarme un email cuando un mensaje es respondido " y automaticamente se te avisará



saludos



ms, 27 de Agosto de 2008

[pedrosterling]

Buenos días, bueno....desinstale e instale en estos días varios antivirus para asi saber como podia quitar este Bicho que tengo en mi PC.. :x ..



Finalmente instale el Mcafee.....me introduje en la pagina oficial y baje e instale una version de prueba....pero completa...como si tuviera el antivirus completo....y le saco a mi PC mas de 30 bichos..TODOS TROYANOS... :P ....puso en cuarentena el archivo....C9HEHPA.BAT...aquel que no encontraba por ningun lado.....estoy buscando como enviarlo de cuarentena....y como enviar tambien los archivos expuestos...q me dijiste anteriormente....muchas gracias... :D

[msc hotline sat]

Pues a ver si puede enviarnos las muestras para poder controlarlas con nuestras utilidades, y lo de la cuarentena, simplemente mueva el fichero a una carpeta cualquiera, McAfee le llama c:\cuarentena o c:\quarantine, y nosotros simplemente c:\muestras\



saludos



ms, 29 de Agosto de 2008

[pedrosterling]

Estoy buscando los archivos en cuarentena....en las carpetas indicadas...y tambien en las del mismo programa Mcafee instalado...y no encuentro por ningun lado estos archivos que estan en cuarentena...sin embargo...cuando corro el antivirus....y reviso los archivos en cuarentena, estan allí....ademas de todos los archivos nombrados anteriormente para el envio de muestras...estan otros....que tambien los voy a enviar..para su análisis.... :)



Estoy pasando los nombres de los archivos, junto con su extensión, nombre de detección, etc; en un archivo de texto.....para enviarlo a muestras.....



Sin embargo pudiera restaurar los archivos infectados, y luego enviarlos para que ustedes los analicen :?: :?: .....y le paso otra vez a la PC el Mcafee....para ver si quedo algo de esos archivos restaurados.....les parec :?:

[msc hotline sat]

Veamos el informe de McAfee para saber lo que ha detectado y lo que ha hecho al respecto.



Para ello, pude botón derecho sobre el icono de VirusScan de la barra de Inicio y entre en Consola de Viruscan pulsando el boton derecho, luego pulse boton derecho sobre EXPLORACION COMPLETA y por último boton izquierdo sobre VER REGISTRO, y seleccione todo el informe (CTRL_E), copielo (CTRL_C) y peguelo en su proximo post de respuesta a este Tema (CTRL_V) , y a la vista de ello procederemos



saludos



ms, 29 de Agosto de 2008

[Henrhy]

Hola buenas tardes... yo tengo el mismo problema con mi laptop... primero se abria de la nada una pagina de internet en chino, pero deje pasar eso por dos dias y ahora aparte de abrirse las paginas de internet en chino, ahora se cambia la fecha al 2004 y demora cerca de 15min en apagarse...

bueno cuando voy a CONTROL PANEL - ADD AND REMOVE PROGRAMS me salen 2 programas que jamas agrege el "adsense based popad" y el "ÍøÕ¾ÅÅÃû¹¤¾ßÌõ" que no se que significa... trate de elinarlo ayer con el kasperky pero me di con la sorpresa que no se poda ejecutar me salia un error, ahora intente ejecutar y el mismo problema, lo desinstale e instale y nada, no quiere correr el kaspersky... bueno tambien le instale el Systweak AntiSpyware y le pase el CCleaner y ambos eliminaron estos archivos... pero cuando la apage y la prendi en la tarde otra vez me salio con la fecha 2004 y se abren paginas de internet!!!

Bueno alguien sabe si ya hay solucion para este problema



P.D: en archivos de programa en vez de las letras chinas aparece el zzToolBar y un archivo ee(con el logo de MS-DOS) con size 12kb y type Shortcut to MS-DOS program

y en Documents and settings me aparece estos archivos 2,3,6,9,10 (todos ellos con el logo MS-DOS) con size 159,25,135,180 y 313kb y type Shortcut to MS-DOS program

[msc hotline sat]

Lance este AV ONLINE y nos postea el informe resultante: SOLO TESTEO AV ONLINE

NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.

(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)

saludos
ms, 18-09-2008