virusremove.dll

[gsbchile]

Hace una semana, al visitar paginas webs, aparceció el siguiente mesaje en la barra emergente de mi computador



Este sitio necesita isntalar el siguiente contro activeX: virusremover.dll de OOO AJSBIRI



Obviamente no lo instalé, pero desde entonces mis navegadores cargan las páginas incompletas o no ingresan a ciertas sitios. Al tratar de reenviar un mensaje desde gmail, aparece la siguiente leyenda:



¡vaya! El sistema no [b][i]ha[/i][/b] podido llevar a cabo la operación (código de error 008) Inténtalo de nuevo dentro de unos segundos.



Si alguien me puede ayudar, lo agradecería

[msc hotline sat]

Se trata de un FAKE ALERT ruso, uno de tantos de moda actualmente (XP antiviruspro 208, XP antispyware 2008, MSAntivurs 2008, IEantivirus2008. XPSecurityCenter 2008, etc etc), con sus continuas variantes ...



Para este hemos visto :


[quote]VirusRemover 2008 Technical Details



Full name: VirusRemover 2008, Virus Remover 2008, VirusRemover2008

Version: 2008

Type: Rogue anti-spyware

Origin: Russian Federation / http://virusremover2008.com/





instructions to remove Virus Remover 2008 manually.



Remove VirusRemover 2008 files and dll’s

VirusRemover2008

VirusRemover2008.lnk

VirusRemover2008.lnk

cookies.sqlite

Viruses.bdt

VirusRemover2008.lnk

Viruses.bdt

VRM2008.exe



Unregister VirusRemover 2008 registry values:



HKEY_CURRENT_USER\Software\{5222008A-DD62-49c7-A735-7BD18ECC7350}

HKEY_CURRENT_USER\Software\VirusRemover2008

HKEY_LOCAL_MACHINE\SOFTWARE\{5222008A-DD62-49c7-A735-7BD18ECC7350}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusRemover2008

HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “VirusRemover2008″[/quote]

Vamos a ver si localizas los ficheros indicados al principio y nos los envias para analizar y controlar, luego los renombras a .VIR (mejor que eliminarlos, por si acaso) y posteas el informe generado por el SPROCES a ver si vemos estas claves e implementamos su eliminacion, junto con lo anterior, en el proximo ELISTARA




[quote][b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar[/quote]

Si tras postearnos dicho informe, quieres eliminarlas manualmente, puedes probar el BUSCAREG:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos



ms, 3-09-2008

[msc hotline sat]

Nos ha enviado un fichero de cookies... nada que hacer con ello, aunque sean del virus, mas que eliminarlo si quiere.



Son todos los demas indicados los que podemos controlar y eliminar, si nos los envia



Viruses.bdt

VirusRemover2008.lnk

Viruses.bdt

VRM2008.exe





saludos



ms, 5-09-2008

[gsbchile]

Solo hoy pude rescatar el informe y estoy enviandolo desde otro computador. Debido a los propblemas que tengo para navegar, no pude enviar muestras desde mi compudador.

---------------------------------------------------------------------------------------------------------------------------------------



Tengo serios problemas para navegar. Desinstalé el antivirus que tenía

(NOD32) y no he podido instalar otro. Busqué manualmente los archivos

indicados en la respuesta y encontré uno solo apuntando al navegador

mozilla, por lo que lo desinstalé y solo estoy con explorer



Gracias



Tue Sep 09 00:09:17 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS.0\SYSTEM32\SMSS.EXE

C:\WINDOWS.0\SYSTEM32\WINLOGON.EXE

C:\WINDOWS.0\SYSTEM32\SERVICES.EXE

C:\WINDOWS.0\SYSTEM32\LSASS.EXE

C:\WINDOWS.0\SYSTEM32\SVCHOST.EXE

C:\WINDOWS.0\SYSTEM32\SVCHOST.EXE

C:\WINDOWS.0\EXPLORER.EXE

C:\WINDOWS.0\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\NVIDIA CORPORATION\NVMIXER\NVMIXERTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.5.0_12\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARES\ARES.EXE

C:\WINDOWS.0\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_FATIADL.EXE

C:\WINDOWS.0\SYSTEM32\CTFMON.EXE

C:\WINDOWS.0\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.5.0_12\BIN\JUCHECK.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR.DESKTOP\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver{SUB_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Reader Link Helper -{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de

programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer -{3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program

Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -C:\Archivos de programa\Java\jre1.5.0_12\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\WindowsLive\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [EPSON Stylus CX4700 Series]

C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_FATIADL.EXE /P26 "EPSONStylus CX4700 Series" /M "Stylus CX4700" /EF "HKCU"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe

O4 - HKLM\..\Run: [NVMixerTray] "C:\Archivos de programa\NVIDIACorporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [EPSON Stylus CX4700 Series]C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_FATIADL.EXE /P26 "EPSONStylus CX4700 Series" /O6 "USB001" /M "Stylus CX4700"

O4 - HKLM\..\Run: [Windows Services Certification] svccert.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.0\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime

Alternative\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de

programa\Java\jre1.5.0_12\bin\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos

comunes\Real\Update_OB\realsched.exe" -osboot

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel -

res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Archivos de programa\Java\jre1.5.0_12\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader

5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool)

- http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1204332071411

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_12)

- http://java.sun.com/update/1.5.0/jinstall-1_5-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0012-ABCDEFFEDCBA} (Java Plug-in 1.5.0_12)

- http://java.sun.com/update/1.5.0/jinstall-1_5_0_12-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_12)

- http://java.sun.com/update/1.5.0/jinstall-1_5_0_12-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -

http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -

C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} -

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information

Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} -

C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} -

%SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} -

%SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -

%SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} -

C:\WINDOWS.0\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} -

Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} -

Demonio de caché de las categorías de componente -

%SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) -

Unknown owner - C:\WINDOWS.0\system32\svchost -k DcomLaunch (file missing)

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown

owner - C:\WINDOWS.0\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development

Group - C:\Archivos de programa\Ares\chatServer.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) -

Microsoft Corp., VERITAS Software - C:\WINDOWS.0\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

Corporation - C:\Archivos de programa\Archivos

comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: IC Plus IP100 10/100 Fast Ethernet Adapter NT Driver

(ip100xp) - IC Plus Corp.

+ -

C:\WINDOWS.0\SYSTEM32\DRIVERS\ipfnd51.sys

O23 - Service: nv - NVIDIA Corporation -

C:\WINDOWS.0\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Service for NVIDIA(R) nForce(TM) Audio Enumerator (nvax) -

NVIDIA Corporation - C:\WINDOWS.0\SYSTEM32\drivers\nvax.sys

O23 - Service: Service for NVIDIA(R) nForce(TM) Audio (nvnforce) - NVIDIA

Corporation - C:\WINDOWS.0\SYSTEM32\drivers\nvapu.sys

O23 - Service: Low level access layer for CD devices (pcouffin) - VSO

Software - C:\WINDOWS.0\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. -

C:\WINDOWS.0\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) -

Parallel Technologies, Inc. - C:\WINDOWS.0\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Sony Ericsson Device 049 Driver driver (WDM) (SE31bus) -

MCCI - C:\WINDOWS.0\SYSTEM32\DRIVERS\SE31bus.sys

O23 - Service: Sony Ericsson Device 049 USB WMC Modem Filter (SE31mdfl) -

MCCI - C:\WINDOWS.0\SYSTEM32\DRIVERS\SE31mdfl.sys

O23 - Service: Sony Ericsson Device 049 USB WMC Modem Driver (SE31mdm) -

MCCI - C:\WINDOWS.0\SYSTEM32\DRIVERS\SE31mdm.sys

O23 - Service: Sony Ericsson Device 049 USB WMC Device Management Drivers

(WDM) (SE31mgmt) - MCCI - C:\WINDOWS.0\SYSTEM32\DRIVERS\SE31mgmt.sys

O23 - Service: Sony Ericsson Device 049 USB Ethernet Emulation SEMC49

(NDIS) (se31nd5) - MCCI - C:\WINDOWS.0\SYSTEM32\DRIVERS\se31nd5.sys

O23 - Service: Sony Ericsson Device 049 USB WMC OBEX Interface (SE31obex)

- MCCI - C:\WINDOWS.0\SYSTEM32\DRIVERS\SE31obex.sys

O23 - Service: Sony Ericsson Device 049 USB Ethernet Emulation SEMC49

(WDM) (se31unic) - MCCI - C:\WINDOWS.0\SYSTEM32\DRIVERS\se31unic.sys

O23 - Service: Secdrv - Unknown owner -

C:\WINDOWS.0\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner

- C:\WINDOWS.0\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) -

TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities

2006\WinStylerThemeSvc.exe

O23 - Service: WAN Miniport (ATW) (wanatw) - Unknown owner -

C:\WINDOWS.0\SYSTEM32\DRIVERS\wanatw4.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software -

C:\WINDOWS.0\SYSTEM32\drivers\dmboot.sys



24 Servicios.

2 de Carga Automatica.

21 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Pues lo primero que vemos es que te faltan parches:



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Nasty

Internet Explorer: (v6.0.2900.2180) ;SP2;



Lance un windowsupdate e instale el SP3.



Luego, si persiste algun problema, lanza este AV ONLINE y ppsteanos el informe resultante:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.





(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)



saludos



ms, 11-09-2008