Virus!!!!! photo00019-jajaja.zip por msn y por pendrive

[rrcoolb]

Hola gente de zona virus

Me ataco un bicho, por medio de una pendrive, se instalo en el sistema, pero al conectarme por msn automaticamente se empezo a propagar a mis contactos conectados el archivo se llama [color=#FF0040]photo00019-jajaja.zip[/color]

en la barra de inicio desaparecio el boton apagar, no aparece el administrador de tareas porque a sido deshabilitado, el hijackthis lo pude hacer funcionar cambiandole el nombre "hijackthis.exe" por" hths.exe", porque se cierra automaticamente, tambien deshabilitó "restaurar sistema", no deja iniciar a modo de prueba de fallos, no pude ejecutar el[color=#FF0040]Elistara[/color] tira el error "no es una aplicacion valida de win32", el killbox se cierra tambien.

les tiro el log



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:34:07 PM, on 06/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal



Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\LEXBCES.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\LEXPPS.EXE

D:\Archivos de programa\Norton AntiVirus\navapsvc.exe

D:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

D:\WINDOWS\system32\svchost.exe

D:\ARCHIV~1\NORTON~1\navapw32.exe

D:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

D:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

D:\WINDOWS\PixArt\PAC7302\Monitor.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

D:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

D:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

D:\Archivos de programa\Internet Explorer\iexplore.exe

D:\WINDOWS\explorer.exe

D:\Archivos de programa\Ares\Ares.exe

D:\Archivos de programa\Windows Media Player\wmplayer.exe

D:\Archivos de programa\Internet Explorer\iexplore.exe

D:\Archivos de programa\Trend Micro\HijackThis\HThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ar.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://es.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - D:\Archivos de programa\ShoppingReport\Bin\2.5.0\ShoppingReport.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - D:\Archivos de programa\Yahoo!\Common\yiesrvcAR.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\Windows Live Toolbar\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NAV Agent] D:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [RemoteControl] "D:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "D:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [PAC7302_Monitor] D:\WINDOWS\PixArt\PAC7302\Monitor.exe

O4 - HKLM\..\Run: [Symantec OSBoot Security] symbooter.exe

O4 - HKCU\..\Run: [ares] "D:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: CptWesco.lnk = D:\Archivos de programa\CptWesco\CptWesco.exe

O4 - Global Startup: DSLMON.lnk = ?

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Windows Live Search - res://D:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://D:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/229?736f1621d4734c92b93d629e32bea2e9

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://D:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/230?736f1621d4734c92b93d629e32bea2e9

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - D:\Archivos de programa\ShoppingReport\Bin\2.5.0\ShoppingReport.dll

O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - D:\Archivos de programa\ShoppingReport\Bin\2.5.0\ShoppingReport.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-AR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=19588

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F967528B-F039-4037-AE1E-67165B9C2ACA}: NameServer = 200.45.191.35 200.45.191.40

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Google Updater Service (gusvc) - Google - D:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Windows Installer (MSIServer) - Unknown owner - D:\Documents and Settings\xx\Escritorio\MsiExec.exe (file missing)

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe



--

End of file - 8163 bytes



bueno si tienen alguna idea de como solucionarlo avisen!!!! yo sigo intentandolo!!!!

saludos y gracias a todos por leer el post!!!!

[Claudia34]

Bueno vamos por parte, en primer lugar te falta el service pack 3 por lo tanto realiza un windows update, con respecto al elistara y/o elitrip para que no te aparesca el mensaje aquel que tu especificas intenta descargarlo de internet pero bajando los niveles de seguridad momentaneamente del I.E., o tambien lo puedes descargar en un diskette desde otra pc (un ciber por ejemplo) y luego lo pasas a tu pc.



Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp



Y para complementar (opcional en algunos casos):



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469



Y tambien pasate el elibagla:



http://www.zonavirus.com/descargas/elibagla.asp





Y compleméntalo posteándonos el Log del HJT:





HJT: (HiJackThis)



¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



¿Como arrancar en modo a prueba de fallos?



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Opcional:





Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.





Y pruebate el kaspersky antivirus online que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.



https://www.kaspersky.es/downloads/thank-you/free-antivirus-download



Y para el tema de los autorun descargate del siguiente enlace el elipen:



http://www.zonavirus.com/descargas/elipen.asp



Saludos.

[Claudia34]

Y envianos el siguiente archivo: photo00019-jajaja.zip (ver instrucciones en el enlace abajo) para que lo analicemos e implementemos su control y eliminacion en nuestras utilidades.





¿como enviar el archivo?





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Saludos.

[lucl]

Usa elirestr a ver si restauramos algo el registro, nos comentas cambios, saludos



http://www.zonavirus.com/descargas/EliRestr.vbs

[rrcoolb]

Hola!!!! Muchas gracias por responder!!!

les cuento utilize las aplicaciones recomendadas, elistara, elitrip y las demas, algo se soluciono, ya no propaga virus a los demas al estar conectado al msn, quise utilizar el kaspersky online, encuentra un virus, pero no me da la opcion de guardar el log, y se pone en error de pagina,

ctrl + surp+ alt me sigue tirando "El administrado de tareas ha sido desabilitado por un administrador", con respecto a instalar el sp3, existiendo una infeccion, no seria un poco arriesgado???

el virus photo00019-jajajaja.zip parece que es de ocultacion completa porque no lo puedo hallar por ningun lado

bueno ahora les posteo el log de infosat.txt



Sun Sep 07 08:29:09 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Sep 07 08:30:49 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Documents and Settings\xx\Escritorio\nueva\MSNFix\incl\HOSTSCLEAN.EXE --> Eliminado, Autoit.BQG



Nº Total de Directorios: 6142

Nº Total de Ficheros: 53516

Nº de Ficheros Analizados: 12546

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Sun Sep 07 08:58:24 2008

EliTriIP v5.04 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Sun Sep 07 08:58:31 2008

EliTriIP v5.04 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 6146

Nº Total de Ficheros: 54052

Nº de Ficheros Analizados: 11939

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Sep 07 09:11:11 2008

EliBagle v11.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"



Sun Sep 07 09:11:15 2008

EliBagle v11.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 6146

Nº Total de Ficheros: 54117

Nº de Ficheros Analizados: 9071

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Bueno por es todo!!!!

muchas gracias por la paciencia!!!!

Saludos

rrcoolb

pd: perdon por el duplicado del post, creo que me emocione con el boton enviar!!! :?

[Claudia34]

Seria bueno poder ver el informe del kaspersky online por lo menos para saber de que virus se trata y en que ubicacion y archivo esta, y con respecto a que no encuentras ese archivo para poder luego enviarnoslo, intenta probar a buscar ese archivo en modo a prueba de fallos con el buscador de windows que esta en inicio- buscar (al lado hay una pequeña lupa)



Saludos.

[rrcoolb]

Ok claudia, lo encontre por una de esas casualidades, y envie la muestra

ahora una pregunta, el virus desactivo el inicio a modo de prueba de fallos, ( empieza a bootear y se apaga) existe alguna forma alternativa de hacerlo????

ahora estoy probando con un antivirus online, despues comento como me fue!!!!

Nos vemos luego

Saludos

[lucl]

Y prueba el sprocess y nos pegas el log que te dejara en C sproclog.txt y asi veremos las claves que tienes, saludos





http://www.zonavirus.com/descargas/sproces.asp

[rrcoolb]

Hola Luci, baje y corri la aplicacion SProclog. como me pediste y este es el log que me tiro:



Sun Sep 07 17:56:06 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.13) 0



Procesos Activos:

D:\WINDOWS\SYSTEM32\SMSS.EXE

D:\WINDOWS\SYSTEM32\CSRSS.EXE

D:\WINDOWS\SYSTEM32\WINLOGON.EXE

D:\WINDOWS\SYSTEM32\SERVICES.EXE

D:\WINDOWS\SYSTEM32\LSASS.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SPOOLSV.EXE

D:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\ALG.EXE

D:\WINDOWS\EXPLORER.EXE

D:\ARCHIV~1\NORTON~1\NAVAPW32.EXE

D:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

D:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_05\BIN\JUSCHED.EXE

D:\WINDOWS\PIXART\PAC7302\MONITOR.EXE

D:\ARCHIVOS DE PROGRAMA\HUAWEI TECHNOLOGIES\HUAWEI SMARTAX MT810\DSLMON.EXE

D:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

D:\WINDOWS\SYSTEM32\CTFMON.EXE

D:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLLOGINPROXY.EXE

D:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\USNSVC.EXE

D:\ARCHIVOS DE PROGRAMA\WINDOWS MEDIA PLAYER\WMPLAYER.EXE

D:\WINDOWS\SYSTEM32\IMAPI.EXE

D:\ARCHIVOS DE PROGRAMA\ARES\ARES.EXE

D:\DOCUMENTS AND SETTINGS\XX\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - D:\Archivos de programa\Yahoo!\Common\yiesrvcAR.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\Windows Live Toolbar\msntb.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKCU\..\Run: [ares] "D:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [NAV Agent] D:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [RemoteControl] "D:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "D:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [PAC7302_Monitor] D:\WINDOWS\PixArt\PAC7302\Monitor.exe

O4 - HKLM\..\Run: [Symantec OSBoot Security] symbooter.exe

O4 - HKLM\..\Run: [Services Panel] servicepanel.exe

O4 - Startup: CptWesco.lnk

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: DSLMON.lnk

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Windows Live Search - res://D:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://D:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/229?736f1621d4734c92b93d629e32bea2e9

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://D:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/230?736f1621d4734c92b93d629e32bea2e9

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {3334504D-9980-0010-8000-00AA00389B71} - http://download.microsoft.com/download/0/C/8/0C8EDFAB-30BC-4792-898E-2DABE27B2C4D/mp43dmo.CAB

O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} - http://download.microsoft.com/download/D/0/D/D0DD87DA-994F-4334-8B55-AF2E4D98ED0C/wmv9dmo.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-AR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_05) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=19588

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F967528B-F039-4037-AE1E-67165B9C2ACA}: NameServer = 200.45.191.35 200.45.191.40

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - D:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL (file missing)

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - D:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - D:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

Activada Restricción del Administador de Tareas.(DisableTaskMgr)

Activada Restricción del Inicio/Ejecutar.(NoRun)

Activada Restricción del COMMAND.COM (disableCMD)



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: General Purpose USB Driver (adildr.sys) (ADILOADER) - Analog Deivces - D:\WINDOWS\SYSTEM32\Drivers\adildr.sys

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - D:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - D:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - D:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SYMTDI - Symantec Corporation - D:\WINDOWS\system32\Drivers\SYMTDI.SYS



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: USB ADSL WAN Adapter (adiusbaw) - Analog Devices Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\adiusbaw.sys

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ICatch (VI) PC Camera (CA561) - SP - D:\WINDOWS\SYSTEM32\Drivers\SPCA561.SYS

O23 - Service: catchme - Unknown owner - D:\DOCUME~1\xx\CONFIG~1\Temp\catchme.sys (file missing)

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - D:\WINDOWS\SYSTEM32\drivers\cmuda.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - D:\WINDOWS\System32\dmadmin.exe

O23 - Service: Google Updater Service (gusvc) - Google - D:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NAVAP - Unknown owner - D:\WINDOWS\system32\Drivers\NAVAP.SYS

O23 - Service: NAVENG - Symantec Corporation - D:\ARCHIV~1\ARCHIV~1\SYMANT~1\VIRUSD~1\20080903.003\NAVENG.Sys

O23 - Service: NAVEX15 - Symantec Corporation - D:\ARCHIV~1\ARCHIV~1\SYMANT~1\VIRUSD~1\20080903.003\NavEx15.Sys

O23 - Service: Messenger 310 (PAC7302) - PixArt Imaging Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\PAC7302.SYS

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - D:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: W2K Pctel Serial Device Driver (Ptserial) - PCTEL, INC. - D:\WINDOWS\SYSTEM32\DRIVERS\ptserial.sys

O23 - Service: SiS315 - Silicon Integrated Systems Corporation - D:\WINDOWS\SYSTEM32\DRIVERS\sisgrp.sys

O23 - Service: Controlador de adaptador Fast Ethernet SiS PCI (SISNIC) - SiS Corporation - D:\WINDOWS\SYSTEM32\DRIVERS\sisnic.sys

O23 - Service: SymEvent - Symantec Corporation - D:\Archivos de programa\Symantec\SYMEVENT.SYS

O23 - Service: SYMREDRV - Symantec Corporation - D:\WINDOWS\system32\Drivers\SYMREDRV.SYS

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - D:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: W2K Vmodem (Vmodem) - PCTEL, INC. - D:\WINDOWS\SYSTEM32\DRIVERS\vmodem.sys

O23 - Service: W2K Vpctcom (Vpctcom) - PCtel, Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\vpctcom.sys

O23 - Service: W2K Vvoice (Vvoice) - PCtel, Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\vvoice.sys

O23 - Service: Sony Ericsson W300 Driver driver (WDM) (w300bus) - MCCI - D:\WINDOWS\SYSTEM32\DRIVERS\w300bus.sys

O23 - Service: Sony Ericsson W300 USB WMC Device Management Drivers (WDM) (w300mgmt) - MCCI - D:\WINDOWS\SYSTEM32\DRIVERS\w300mgmt.sys

O23 - Service: Sony Ericsson W300 USB WMC OBEX Interface (w300obex) - MCCI - D:\WINDOWS\SYSTEM32\DRIVERS\w300obex.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - D:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe



35 Servicios.

8 de Carga Automatica.

25 de Carga Manual.

2 Deshabilitados.



al archivo lo encontre en: "D:\Documents and Settings\xx\Configuración local\Temp\photo00019-jajaja.zip"

ahora de ratos se me abre una a aplicacion que me pide que me conecte al msn, introduzca el usuario y la contraseña, obviamente que no voy a hacer.

Ahhh pase el ewido online pero encontro apenas unas cookies :





ewido anti-spyware online scanner

http://www.ewido.net

__________________________________________________





Name: TrackingCookie.Yieldmanager

Path: D:\Documents and Settings\xx\Cookies\xx@ad.yieldmanager[2].txt

Risk: Medium



Name: TrackingCookie.Netflame

Path: D:\Documents and Settings\xx\Cookies\xx@ssl-hints.netflame[1].txt

Risk: Medium



Name: Not-A-Virus.Adware.AdWeb

Path: D:\System Volume Information\_restore{9249284A-B712-4EEB-B911-D5AC70C42079}\RP422\A1184932.ocx

Risk: Low





Bueno por ahora es todo, espero que se pueda hacer algo!!!!!

muchas gracias otra vez!!!!

see ya!!!

[lucl]

Renombra el archivo a .VIR le quitas el exe con el boton derecho del raton, al menos no molestara y como ya has enviado la muestra mañana se analizara y te daremos la herramienta. Ah y otro forero tambien nos la envio parece ser que por su zona esta haciendo estragos, saludos

[rrcoolb]

Ok. si ,eso estuve haciendo, ya que parece que el bicho sabe cuales son los programas que podrian llegar a perjudicarlo, le cambie el nombre a al killbox, al hijackthis y al elistara. estube buscando alguna dll para modificarle el nombre pero nada. Es super rebuscado y esta causando estragos, a mi me llego por una pendrive, la verdad no sabia del elipen, pero ahora salga como salga de estas será una herramienta super necesaria, ahhh estoy en Argentina, (Estos Sudacas complican todo, jajajaja!!!) :lol: bueno quedense tranquilos que no tengo contactos que vivan en España, asi que por mi intermedio no llegará nada al viejo mundo!!!!!

Nos vemos mañana, que pasen una buena noche

rrcoolb

[msc hotline sat]

Aparte de lo ya indicado,



Envianos estos ficheros para analizar:



D:\Archivos de programa\ShoppingReport\Bin\2.5.0\ShoppingReport.dll

(ya que http://vil.mcafeesecurity.com/vil/conten t/v_133312.htm )



y estos envianoslos por desconocidos, veremos lo que son:



symbooter.exe



servicepanel.exe



D:\Archivos de programa\CptWesco\CptWesco.exe





Elimina estas claves:



O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - D:\Archivos de programa\ShoppingReport\Bin\2.5.0\ShoppingReport.dll



O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1



O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - D:\Archivos de programa\ShoppingReport\Bin\2.5.0\ShoppingReport.dll



O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - D:\Archivos de programa\ShoppingReport\Bin\2.5.0\ShoppingReport.dll



y, cuando puedas, actualiza parches e instala el SP3 lanzando un windowsupdate...



saludos



ms, 8-09-2008

[msc hotline sat]

Y mira lo que indicamos en el Tema de Buitre, que ya nos ha enviado muestra de algo parecido:



https://foros.zonavirus.com/viewtopic.php?f=5&t=25913&start=15





Cuando nos hayas enviado tus muestras, provcedermos con ellas.



saludos



ms, 8-9-2008

[rrcoolb]

Hola gente de zona virus

desgraciadamente no puedo acceder a:

D:\Archivos de programa\ShoppingReport\Bin\2.5.0\ShoppingReport.dll

y aunque le de fix checked a las entradas

O4 - HKLM\..\Run: [Services Panel] servicepanel.exe

O4 - HKLM\..\Run: [Symantec OSBoot Security] symbooter.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

no las elinina

el cptwesko es un juego de mis sobrinos, pero quien sabe, ese si lo pude enviarlo

bueno ahora voy aprobar con algun antivirus online a ver si descubre algo!!! despues les cuento

saludos y gracias nuevamente!!!

rrcoolb

[rrcoolb]

Si creen que esto no puede ser peor, el boton ejecutar desaparecio, el cdm.exe me tira que ha sido desabilitado por el administrador del sistema, el kaspersky online sigue sin tirarme el resultado del analisis, ahora tampoco encuentro la forrma de ver los archivos ocultos :x

que mas puede pasar????

le di con el regseeker borre las entradas, pero nada, aparecen otra vez!!!

no se que mas hacer, por las dudas, ya hice un backup, pero no es la idea formatear el disco, voy a esperar a ver que pasa

saludos y muchas gracias otra vez!!!!!!

rrcoolb

[msc hotline sat]

Pruebe la nueva version del ELISTARA 16.90 que hemos subido a esta web, y tras ello posteenos el contenido de c:\infosat.txt, gracias



saludos



ms, 9-09-2008

[rrcoolb]

ok, baje el elistara y encontro unos virus



D:\WINDOWS\SYSTEM32\SERVICEPANEL.EXE --> Trojan.Agent.ABUE Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "Services Panel"="servicepanel.exe"

Restaurada Clave: "SafeBoot\Minimal y Network"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



despues del reinicio, volvio a aparcecer el boton ejecutar y en herramientas volvio aparecer opciones de carpeta.

como no podia ver el archivo symbooter.exe por estar oculto seleccione la casilla "mostrar archivos ocultos" y desmarque la casilla "ocultar archivos protegidos del sistema operativo".



despues de eso fui al killbox y escribi la direccion del archivo "d:\windows\system32\symbooter.exe" y use un dummie para eliminarlo al reiniciar. Al reiniciar sorpresa el taskmanager comenzo a funcionar, y tambien el msconfig y el regedit ahora en en msconfig desmarque en inicio el symbooter.exe.

y ahora que mas deberia hacer???



haber podido ejecutar el taskmanager ya es mucho, todo gracias al elistara, ya a la paciencia de la gente de satinfo!!

ahora solo me falta poder ver el boton de apagar y no solo el de cerrar sesion, pero ya encontraremos una solucion.

espero que les sirva mi xp!!!

nos vemos al rato!!!

saludos

[msc hotline sat]

Prueba de nuevo el ELISTARA, que tienes pendiente la limpieza del



SERVICEPANEL.EXE --> Trojan.Agent.ABUE Acceso Denegado.



y ahora, tras lo que hizo la primera pasada de "Entrada Eliminada [HKLM\...\Run] "Services Panel"="servicepanel.exe"



posiblemente en el siguiente reinicio ya no estará en uso y podrá eliminar dicho SERVICEPANEL.EXE



y lo del d:\windows\system32\symbooter.exe lo habría hecho la version que haremos hoy , 16.91, ya que en la actual 16.90 estamos a medias con este malware... Igual por ello no le indicó reiniciar tras el indicado acceso denegado.



Pero por lo menos, con lo actual ya se ha apañado ! lo celebramos, pero de todas formas, esta tarde (> 19h GMT) pruebe la siguiente version 16.91 a ver si lo rematamos :wink:



saludos



ms, 9-09-2008

[msc hotline sat]

Pues no, el d:\windows\system32\symbooter.exe no lo hemos recibido para analizar, en su lugar hemos recibido uno de 11 MB que vamos a procesar ???



Mira si consigues de alguna parte (del ZIP o mail si asi lo recibiste) dicho fichero, para poder analizarlo y controlarlo.



A continuacion informamos de este otro de 11 MB:



El preanalisis con VirusTotal no detecta nada: File cptwesco.rar received on 09.09.2008 13:57:10 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

[b][i]Result: 0/36 (0%)[/i][/b]

Consecuentemente se aparca dicho fichero al no detectar nadie nada.



Si nos envia el fichero que pediamos, lo analizaremos y controlaremos, sino terminamos aqui el Tema.



saludos



ms, 9-09-2009

[easpe]

Muy buenos dias.



Al igual que los demas usuarios este virus me ha deshabilitado cualquier posibilidad de eliminarlo, no ejectucar no administrar, no safe boot, no policy manager, no regedit.

Al parecer con las herramientas que sugieren se ha contenido el virus por el messenger y ha eliminado el hosts que evitava acceesar a ciertas paginas antivirus.



He renombrado la mayoria de las herramientas sugeridas, y funcionan a medias ya que detectan algunos cambios realizados, como el deshabilitado del regedit, pero cuando borro dicho registro simplemente no lo hace.



Por ciero vivo en México y por aca anda bastante activo este virus. (mil gracias por el Elipen ya me salavaron de infeccion facil a 10 maquinas.) Esperemos se encuentre una solucion.



Espero alguno de mis contactos me reenvie el virus para mandar para muestra.

[msc hotline sat]

Al parecer eliminaste este fichero sin enviarnos muestra:



d:\windows\system32\symbooter.exe



es una pena porque sin ello no podemos analizarlo y controlarlo, hasta que alguien nos lo envie.



Mira si alguien que conozcas lo tiene y nos lo envias...



Y del HOSTS es el usuario quien acepta o no limpiar el HOSTS, la utilidad ELISTARA pregunta y hace lo que se quiera, y evidentemente si se le dice que sí, elimina las cientos de entradas que redirigen sus URL al Local Host (127.0.0.1)



Cada día implementamos el control de nuevas muestras al ELISTARA, por lo que si quieres ir probando a ver si algun otro forero nos envia dicha muestra que eliminaste...



Aparte, dicha utilidad restaura la edicion de registro, el SafeBoot, el Administrador de tareas, etc, pero claro, si tienes un malware que los vuelve a deshabilitar, hasta que no lo elimines, seguirá causando la modificacion de dichas claves.



A ver si nos envias la muestra del SYMBOOTER ... !!!



saludos



ms, 9-02-2008

[rrcoolb]

Hola gente de zona virus, ya envie el archivo symbooter, pero le cambie la extension exe para que no se reactivara, ahora es symbooter.vir

aun no puedo reactivar el botón apagar, pero ya podria restaurar el sistema, porque tambien se pudo activar, pero no se si uds me lo recominendan

Hace mucho que deje de estudiar sistemas y ya no me acuerdo de como se maneja en msconfig, en la solapa inicio todavia aparece la entrada del symbooter, obviamente desmarcada , es normal que aparezca esta entrada????

lo puse en inicio selectivo, todavia no quiero jugarme, por las dudas, uno nunca sabe...

ahhhhh, tambien tengo otra pc con el mismo inconveniente, aunque digan que no, ya me imagino quien fue el que me infecto!!!!! asi que voy a poder poner en practica lo expuesto, a ver si funciona!!!

bueno espero un rato a ver que pasa

nos vemos luego

saludos

rrcoolb

[rrcoolb]

Hola!! desgraciadamente, no puedo hacer que aparezca el boton [color=#FF0000]apagar[/color] en el inicio, solo aparece [color=#FF0000]cerrar sesion [/color]y con la opcion restaurar sistema me tira "error.. restauracion incompleta" ahhhh!!!!

que otra cosa podra ser?????

saludos

rrcoolb

[msc hotline sat]

Pues lo monitorizaremos y pasaremos a controlar con la version del ELISTARA 16.92 de hoy, de lo cual informaremos



saludos



ms, 10-09-2008

[msc hotline sat]

En el preanalisis con VirusTotal lo detectan solo 2 antivirus, de 36, lo cual indica que se debe tratar de uno muy reciente aun desconocido por la mayoria:


[quote]File symbooter.vir received on 09.10.2008 13:10:50 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 2/36 (5.56%)[/quote]

Pasa a monitorizacion y lo controlaremos



luego sigo

[msc hotline sat]

Pues lo rechazan en monitorizacion por corrupcion del fichero.



Resulta que ha sido cambiado a 00 muchos bytes de su código, por lo que aunque pueda ser detectado como RBOT, no es operativo ni monitorizable.



Asi que elimina dicho fichero y listos.



Si de alguna parte pudieras obntener el original, sin toquetear, lo pasariamos a controlar, pero este no es operativo.



saludos



ms, 10-09-2008

[rrcoolb]

hola!!!

acabo de enviar una muestra del symbooter.exe en estado "puro" que saque de esta maquina, que todavia esta infectada, pero aun sigo con problemas porque no encuentro la forma de reestablecer el boton Apagar, ya probe com el regedit, poniendo la opcion Noclose 0, pero no paso nada, ya de ultima me creé un boton apagar en el escritorio, "shutdown -s-t 0" mientras busco alguna solucion

saludos a todos y gracias

rrcoolb

[msc hotline sat]

Mejor lo de la solucion alternativa y "provisional" del suhtdown, mas que la de tocar el registro. Lo que haya hecho en el mismo puede acarrear consecuencias, por ello no aconsejamos nunca toquetearlo, y en lugar de ello ya restauraremos las claves modificadas por los virus, con nuestras utilidades, pero no se van a corregir los que haya toqueteado el usuario...



Hoy es dia festivo en Barcelona (11 de Setiembre=LA DIADA) pero mañana, al revés que otras muchas empresas, nosotros no hacemos puente, y la indicada muestra del SYMBOOTER.EXE será monitorizada y si es operativa, como se espera, pasaremos a controlarla con la proxima version del ELISTARA 16.93 de mañana.



Y a título de comentario, yo tambien tengo un fichero .BAT en el escritorio, con "apagado rápido" que cierra las aplicaciones abiertas automáticamente y simplemente contiene un    SHUTDOWN -T 00 -f -s   , y lo uso habitualmente para cerrar.



saludos y hasta mañana.



ms, 11-09-2008

[rrcoolb]

Hola!!!

anoté los cambios en el regedit, supongo que podré volverlos a sus valores originales

esta buena tu opcion del shutdown, la voy a poner en practica.

que pase un buen dia de Cataluña, (aca es día del maestro),

Nos vemos

Saludos

rrcoolb

[msc hotline sat]

Sï, cuidado con el registro de sistema, salvo restaurar a un punto anterior si existe, lo que se toca, tocado queda y si no se sabe lo que se ha hecho...



Y veo que por America del Sur tambien es festivo para muchos, maestros y colegiales, claro...



Pues hasta mañana !



saludos



ms, 11-09-2008