PNXN.EXE

[Toynano]

No encontre ningun tema relacionado, asi que les describo el mio.



Todo funciona normalmente, o eso creo, a excepcion del explorer y el msn, es decir no me permite abrir paginas, ni correo ni nada de internet. Verifique la conexion con el servidor y esta si esta activa. Despues de buscar un poco encontre el archivo PNXN.EXE que se aloja en windows/Prefetch, lo elimino de esta carpeta y suprimo su ejecucion desde el Administrador de tareas de Windows y todo vuelve a la normalidad, pero cada vez que reinicio la PC aparece de nuevo, no consigo localizar desde donde se genera.



Gracias por su ayuda

[Claudia34]

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp



Y para complementar (opcional en algunos casos):



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469





Y compleméntalo posteándonos el Log del HJT:





HJT: (HiJackThis)



¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



¿Como arrancar en modo a prueba de fallos?



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Opcional:





Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.





Y pruebate el kaspersky antivirus online que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.



https://www.kaspersky.es/downloads/thank-you/free-antivirus-download



Y para el tema de los autorun descargate del siguiente enlace el elipen:



http://www.zonavirus.com/descargas/elipen.asp



Saludos.

[Toynano]

Una disculpa, por error puse el nombre mal, el correcto es TBXN.EXE en lugar de PNXN.EXE.

Despues de correr lo indicado, dos veces, Avast reconocio el virus y lo mando al baul, parece que todo quedo corregido, de todas formas les pego, el contenido de InfoSat.txt y gracias por todo.



Fri Oct 10 19:56:56 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "PRONTO")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\tbxn.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\FXSTALLER.EXE.Muestra EliStartPage v17.15

a "virus@satinfo.es". Gracias.

C:\WINDOWS\FXSTALLER.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Windows UDP Control Center"="fxstaller.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Oct 10 20:02:11 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "PRONTO")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\tbxn.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP



Fri Oct 10 20:03:32 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1612

Nº Total de Ficheros: 21441

Nº de Ficheros Analizados: 7695

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Oct 10 20:57:03 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "PRONTO")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\tbxn.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP



Fri Oct 10 21:04:20 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "PRONTO")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\tbxn.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Oct 10 21:04:53 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "PRONTO")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\tbxn.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP



Fri Oct 10 21:05:08 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "PRONTO")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\tbxn.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP



Fri Oct 10 21:05:19 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "PRONTO")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\tbxn.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP



Fri Oct 10 21:05:28 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "PRONTO")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\tbxn.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Oct 10 21:05:51 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "PRONTO")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\tbxn.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP



Fri Oct 10 21:06:00 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "PRONTO")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\tbxn.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP



Fri Oct 10 21:06:22 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "PRONTO")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\tbxn.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Oct 10 21:06:46 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "PRONTO")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\tbxn.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

[msc hotline sat]

Pues ya ves lo que se te dice:



Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\tbxn.exe



Por favor, envienos una muestra del fichero

C:\Muestras\FXSTALLER.EXE.Muestra EliStartPage v17.15







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y parece que te falta instalar parches: "[b][i]No detectado SP3 de Windows XP[/i][/b]"



pues lanza un windowsupdate y actualiza este ordenador instalando el SP3 y posteriores.





Cuando hayamos recibido las muestras pedidas, las analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 11-10-2008

[Toynano]

Las muestras fueron enviadas tal como fueron solicitadas a virus@infosat.com, no puedo enviarlas nuevamente ya que los archivos fueron eliminados por Avast, el problema que presentaba de no poder abrir paginas quedo solucionado, pero ahora manda mensajes diciendo que tal o cual acaba de iniciar sesion, siendo que no tengo abierto el msn



Les pego el ultimo reporte de Elistar



Por cierto, si tengo instalado el SP#, no se por que con EliStar no lo reconoce, pero





Sat Oct 11 21:48:56 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Oct 11 21:49:19 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1634

Nº Total de Ficheros: 21629

Nº de Ficheros Analizados: 7881

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Oct 11 21:54:19 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Sat Oct 11 21:54:27 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1635

Nº Total de Ficheros: 21632

Nº de Ficheros Analizados: 7768

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0











Por cierto si tengo instalado el SP3, no entiendo porque Elistar no lo detecta, pero con Hijackthis si





Logfile of HijackThis v1.99.1

Scan saved at 08:10:16 p.m., on 10/10/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18241)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Antivirus\ELISTARA.AIA%D8B%D8%D8H.EXE

C:\Archivos de programa\Internet Explorer\Iexplore.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\Iexplore.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [pronto] tbxn.exe

O4 - HKLM\..\RunServices: [pronto] tbxn.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\npjpi160_07.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\npjpi160_07.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International

O16 - DPF: Win32 Classes -

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab?e=1223406803302&h=710139ca87c934dccfc81357d76bd90b/&filename=jinstall-6u7-windows-i586-jc.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CB909A8A-6BCD-46D4-9D64-8F16176886DE}: NameServer = 10.0.56.130,10.0.56.135

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

[msc hotline sat]

Te explico porque veo que no lo sabe:



Las utilidades ELI.... tienen copyright de SATINFO y son exclusivamente para los asociados a sus servicios tecnicos, y las muestras que se piden se reciben en virus@satinfo.es



Este foro tiene una concesion especial para evaluar dichas utilidades y las muestras que se envian a zonavirus@satinfo.es se procesan con prioridad (despues que las de los clientes) y se informa al respecto en el foro.



Los que no son clientes y envian muestras como si lo fueran, a virus@satinfo.es, son atendidos en tercer lugar, y se les informa por mail automatico cuando han sido procesadas.



Ya lo sabe para otra vez. De todas formas paso un mail a zonavirus@satinfo.es para tratar de rescatar estas muestras y derivarlas a la linea del foro, para asi mantenerte informado.



A la vista de las muestras, las analizaremos y monitorizaremos para implementar su control y eliminacion en nuestras proximas versiones de las utilidades.



saludos



ms, 12-10-2008

[msc hotline sat]

Recuperada las muestras, una es un EXE ya controlado con el actual ELISTARA 17.16 Y LA OTRA EN UN .pf (PREFECTH) NO MONITORIZABLE)



Descarga la actual version del ELISTARA y pruebala.



Respecto al .pf, si no envias el .EXE no podemos implementar su control y eliminacion.



Mira que no esté oculto:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 13-10-2008

[msc hotline sat]

Hemos vuelto a recibir muestra del TBXN.EXE-24FEBD01.pf dentro de un ZIP, pero nos sigues enviando un .PF, que es un prefecth, no monitorizable.



Si no nos envias el EXE correspondiente, no hacemos nada con este, es solo un lanzador del ejecutable !



saludos



ms, 15-10-2008