Creo que un gusano esta deshabilitando funciones (SOLUCIONADO)

[Mauro]

Desactiva Algunas funciones como el símbolo del sistema, restaurar sistema, msconfig, pc tools spyware doctor, no me permite entrar en algunas paginas como la de zonavirus y antivirus en lineas, en este momento logre desbloquear pero después de un tiempo otra vez asume el control, al principio mandaba archivos por messenger a los contactos conectados, a lo mejor son varios virus o gusanos a la vez, en fin tiene secuestrada mi pc a su antojo. Solicito su ayuda al respecto y espero que no me bloquee la entrada a la pagina de zonavirus otra vez en el futuro, Gracias.

[msc hotline sat]

Podríamos probar el ELISTARA y el ELITRIIP, a ver si es o son algunos de los que ya controlamos:


ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


y por si ademas se propagan por pendrive, vacune con el ELIPEN todos los ordenadores y unidades pendrive:


vacune todas sus unidades de disco y pendrive con el ELIPEN:

ELIPEN.EXE
http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Si no detectara nada con ello, lance este AV ONLINE y posteenos el infome resultante:

SOLO TESTEO AV ONLINE

NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.

(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)


saludos

ms, 18-10-2008

[Mauro]

ok envio resultados de infosat:

Sat Oct 18 08:04:38 2008
EliStartPage v17.21 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2008)

Código: Seleccionar todo

--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Class, "{147A976F-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1

	  Sat Oct 18 08:22:59 2008
EliStartPage v17.21  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"
No detectado SP3 de Windows XP
No detectado SP3 de Windows XP
Eliminados Ficheros Temporales del IE

	  Sat Oct 18 08:38:25 2008
EliBagle v11.85  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Sat Oct 18 08:38:30 2008
EliBagle v11.85  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   5070
Nº Total de Ficheros:      101859
Nº de Ficheros Analizados: 9590
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Sat Oct 18 15:14:48 2008
EliPen v1.8  (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Unidad C:\ Protegida

Unidad C:\ YA esta Protegida

	  Sat Oct 18 16:06:16 2008
EliTriIP v5.14  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP

	  Sat Oct 18 16:06:27 2008
EliTriIP v5.14  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   5074
Nº Total de Ficheros:      101879
Nº de Ficheros Analizados: 13243
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Sat Oct 18 16:22:39 2008
EliStartPage v17.21  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sat Oct 18 19:28:11 2008
EliStartPage v17.21  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Rockstar Games\GTA San Andreas\EAX.DLL --> Eliminado, NetNucleus(BHO/TB)
C:\Archivos de programa\Windows Live\Messenger\RICHED20.DLL --> Eliminado, MyWebSearch
C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.1.1.INF --> Eliminado, MyWebSearch(inf)

Nº Total de Directorios:   5072
Nº Total de Ficheros:      101851
Nº de Ficheros Analizados: 13937
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados:  3

	  Mon Oct 20 05:16:17 2008
EliStartPage v17.21  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\MWSOEMON.EXE --> Eliminado MyWebSearch
C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\MWSOESTB.DLL --> Eliminado MyWebSearch
C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\2.BIN\F3HTMLMU.DLL --> Eliminado MyWebSearch
C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\2.BIN\M3HTML.DLL --> Eliminado MyWebSearch
C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\2.BIN\F3POPSWT.DLL --> Eliminado MyWebSearch
C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\2.BIN\M3SKIN.DLL --> Eliminado MyWebSearch
C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\2.BIN\F3SCRCTR.DLL --> Eliminado MyWebSearch
C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\2.BIN\M3OUTLCN.DLL --> Eliminado MyWebSearch
Entrada Eliminada [HKCU\...\Run] "MyWebSearch Email Plugin"="C:\ARCHIV~1\MYWEBS~1\bar\2.bin\mwsoemon.exe"
Entrada Eliminada [HKLM\...\Run] "MyWebSearch Email Plugin"="C:\ARCHIV~1\MYWEBS~1\bar\2.bin\mwsoemon.exe"
Eliminada Class, "{00A6FAF6-072E-44CF-8957-5838F569A31D}" -> C:\Archivos de programa\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
Eliminada Class, "{07B18EA9-A523-4961-B6BB-170DE4475CCA}" -> C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSBAR.DLL
Eliminada Class, "{07B18EAB-A523-4961-B6BB-170DE4475CCA}" -> C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSBAR.DLL
Eliminada Class, "{147A976F-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1
Eliminada Class, "{3DC201FB-E9C9-499C-A11F-23C360D7C3F8}" -> C:\Archivos de programa\MyWebSearch\bar\2.bin\F3HTMLMU.DLL
Eliminada Class, "{3E720452-B472-4954-B7AA-33069EB53906}" -> C:\Archivos de programa\MyWebSearch\bar\2.bin\M3HTML.DLL
Eliminada Class, "{53CED2D0-5E9A-4761-9005-648404E6F7E5}" -> C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSBAR.DLL
Eliminada Class, "{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C}" -> C:\Archivos de programa\MyWebSearch\bar\2.bin\F3POPSWT.DLL
Eliminada Class, "{7473D292-B7BB-4F24-AE82-7E2CE94BB6A9}" -> C:\Archivos de programa\MyWebSearch\bar\2.bin\M3SKIN.DLL
Eliminada Class, "{7473D294-B7BB-4F24-AE82-7E2CE94BB6A9}" -> C:\Archivos de programa\MyWebSearch\bar\2.bin\M3SKIN.DLL
Eliminada Class, "{7473D296-B7BB-4F24-AE82-7E2CE94BB6A9}" -> C:\Archivos de programa\MyWebSearch\bar\2.bin\M3SKIN.DLL
Eliminada Class, "{8E6F1832-9607-4440-8530-13BE7C4B1D14}" -> C:\Archivos de programa\MyWebSearch\bar\2.bin\F3POPSWT.DLL
Eliminada Class, "{938AA51A-996C-4884-98CE-80DD16A5C9DA}" -> C:\Archivos de programa\MyWebSearch\bar\2.bin\F3SCRCTR.DLL
Eliminada Class, "{98D9753D-D73B-42D5-8C85-4469CDA897AB}" -> C:\Archivos de programa\MyWebSearch\bar\2.bin\F3HTMLMU.DLL
Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1
Eliminada Class, "{9FF05104-B030-46FC-94B8-81276E4E27DF}" -> C:\Archivos de programa\MyWebSearch\bar\2.bin\F3SCRCTR.DLL
Eliminada Class, "{A9571378-68A1-443D-B082-284F960C6D17}" -> C:\Archivos de programa\MyWebSearch\bar\2.bin\F3POPSWT.DLL
Eliminada Class, "{ADB01E81-3C79-4272-A0F1-7B2BE7A782DC}" -> C:\Archivos de programa\MyWebSearch\bar\2.bin\M3OUTLCN.DLL
Eliminada Carpeta "%Archivos de Programa%\FunWebProducts"
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Oct 20 05:40:29 2008
EliStartPage v17.21  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Windows Live\Messenger\RICHED20.DLL --> Eliminado, MyWebSearch
C:\WINDOWS\system32\F3PSSAVR.SCR --> Eliminado, MyWebSearch

Nº Total de Directorios:   5085
Nº Total de Ficheros:      101797
Nº de Ficheros Analizados: 13937
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  2

	  Mon Oct 20 06:31:01 2008
EliTriIP v5.14  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "MsConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
No detectado SP3 de Windows XP

	  Mon Oct 20 06:31:11 2008
EliTriIP v5.14  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   5085
Nº Total de Ficheros:      101795
Nº de Ficheros Analizados: 13235
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

Revision online con kaspersky:
   KASPERSKY ONLINE SCANNER INFORME
lunes, 20 de octubre de 2008 11:52:27
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 20/10/2008
Registros en la base antivirus: 1186214
Configuración del análisis
Analizar usando las siguientes bases 	standard
Analizar archivos 	verdadero
Analizar bases de correo 	verdadero
Objetivo a analizar 	Mi PC
A:\
C:\
D:\
E:\
Estadísticas
Número de objeros analizados 	114351
Virus encontrados 	7
Objetos infectados 	13 / 0
Objetos sospechosos 	0
Duración del análisis 	01:55:37

Bombre del objeto infectado 	Nombre del virus 	Última acción
C:\Archivos de programa\Windows Live\Messenger\msngserv.exe 	Infectados: Trojan.Win32.StartPage.cuk 	saltado
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat 	Object is locked 	saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat 	Object is locked 	saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat 	Object is locked 	saltado
C:\Documents and Settings\Administrador\Cookies\index.dat 	Object is locked 	saltado
C:\Documents and Settings\Administrador\NTUSER.DAT 	Object is locked 	saltado
C:\Documents and Settings\Administrador\NtUser.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\ASROCK\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat 	Object is locked 	saltado
C:\Documents and Settings\ASROCK\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat 	Object is locked 	saltado
C:\Documents and Settings\ASROCK\Configuración local\Archivos temporales de Internet\Content.IE5\KCIVTUN3\Office2003SP3-KB923618-FullFile-ESN[1].exe 	Object is locked 	saltado
C:\Documents and Settings\ASROCK\Configuración local\Archivos temporales de Internet\Content.IE5\KCIVTUN3\PTK2003SP3-KB923642-FullFile-ESN[1].exe 	Object is locked 	saltado
C:\Documents and Settings\ASROCK\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat 	Object is locked 	saltado
C:\Documents and Settings\ASROCK\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat 	Object is locked 	saltado
C:\Documents and Settings\ASROCK\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\ASROCK\Configuración local\Historial\History.IE5\index.dat 	Object is locked 	saltado
C:\Documents and Settings\ASROCK\Configuración local\Historial\History.IE5\MSHist012008102020081021\index.dat 	Object is locked 	saltado
C:\Documents and Settings\ASROCK\Cookies\index.dat 	Object is locked 	saltado
C:\Documents and Settings\ASROCK\Datos de programa\Microsoft\Internet Explorer\UserData\index.dat 	Object is locked 	saltado
C:\Documents and Settings\ASROCK\Escritorio\XXAdriannaXX\LimeWire\Saved\grupo play - pensando en ti 192kb.mp3 	Infectados: Trojan-Downloader.WMA.GetCodec.f 	saltado
C:\Documents and Settings\ASROCK\Escritorio\XXAdriannaXX\LimeWire\Saved\los billis sexy girl has shaking orgasm during sex.mp3 	Infectados: Trojan-Downloader.WMA.Wimad.o 	saltado
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Incomplete\Preview-T-5745425-popurri cuentos de la cripta.mp3 	Infectados: Trojan-Downloader.WMA.Wimad.n 	saltado
C:\Documents and Settings\ASROCK\Mis documentos\XXAdriannaXX\LimeWire\Saved\grupo play - pensando en ti 192kb.mp3 	Infectados: Trojan-Downloader.WMA.GetCodec.f 	saltado
C:\Documents and Settings\ASROCK\Mis documentos\XXAdriannaXX\LimeWire\Saved\los billis sexy girl has shaking orgasm during sex.mp3 	Infectados: Trojan-Downloader.WMA.Wimad.o 	saltado
C:\Documents and Settings\ASROCK\NTUSER.DAT 	Object is locked 	saltado
C:\Documents and Settings\ASROCK\ntuser.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat 	Object is locked 	saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\LocalService\NTUSER.DAT 	Object is locked 	saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat 	Object is locked 	saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT 	Object is locked 	saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG 	Object is locked 	saltado
C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1007\Dc24\The Sims 2\Groups.cache 	Object is locked 	saltado
C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1007\Dc8\Desktop.ini 	Object is locked 	saltado
C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1007\Dc8\Música de muestra.lnk 	Object is locked 	saltado
C:\System Volume Information\MountPointManagerRemoteDatabase 	Object is locked 	saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP219\A0100374.exe 	Infectados: Trojan.Win32.StartPage.cuk 	saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP219\A0101444.exe 	Infectados: Trojan.Win32.StartPage.cuk 	saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP219\A0102379.exe 	Infectados: Trojan.Win32.StartPage.cuk 	saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP219\A0107393.exe 	Infectados: Trojan-PSW.Win32.Agent.kzd 	saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP219\A0107394.exe 	Infectados: Trojan-PSW.Win32.Agent.kzd 	saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP219\A0107396.exe 	Infectados: Worm.Win32.AutoRun.qci 	saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP222\change.log 	Object is locked 	saltado
C:\WINDOWS\CSC\00000001 	Object is locked 	saltado
C:\WINDOWS\Debug\PASSWD.LOG 	Object is locked 	saltado
C:\WINDOWS\pfirewall.log 	Object is locked 	saltado
C:\WINDOWS\system32\CatRoot2\edb.log 	Object is locked 	saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb 	Object is locked 	saltado
C:\WINDOWS\system32\config\AppEvent.Evt 	Object is locked 	saltado
C:\WINDOWS\system32\config\default 	Object is locked 	saltado
C:\WINDOWS\system32\config\default.LOG 	Object is locked 	saltado
C:\WINDOWS\system32\config\Internet.evt 	Object is locked 	saltado
C:\WINDOWS\system32\config\SAM 	Object is locked 	saltado
C:\WINDOWS\system32\config\SAM.LOG 	Object is locked 	saltado
C:\WINDOWS\system32\config\SecEvent.Evt 	Object is locked 	saltado
C:\WINDOWS\system32\config\SECURITY 	Object is locked 	saltado
C:\WINDOWS\system32\config\SECURITY.LOG 	Object is locked 	saltado
C:\WINDOWS\system32\config\software 	Object is locked 	saltado
C:\WINDOWS\system32\config\software.LOG 	Object is locked 	saltado
C:\WINDOWS\system32\config\SysEvent.Evt 	Object is locked 	saltado
C:\WINDOWS\system32\config\system 	Object is locked 	saltado
C:\WINDOWS\system32\config\system.LOG 	Object is locked 	saltado
C:\WINDOWS\system32\drivers\naypviyl.sys 	Object is locked 	saltado
C:\WINDOWS\system32\drivers\ndisio.sys 	Object is locked 	saltado
C:\WINDOWS\system32\drivers\sptd.sys 	Object is locked 	saltado
C:\WINDOWS\system32\mswinsck.ocx 	Infectados: Backdoor.Win32.VB.fnl 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	Object is locked 	saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	Object is locked 	saltado
C:\WINDOWS\WindowsUpdate.log 	Object is locked 	saltado

Análisis completado.

[lucl]

Envíanos esto

C:\Archivos de programa\Windows Live\Messenger\msngserv.exe
C:\Documents and Settings\ASROCK\Escritorio\XXAdriannaXX\LimeWire\Saved\grupo play - pensando en ti 192kb.mp3
C:\Documents and Settings\ASROCK\Escritorio\XXAdriannaXX\LimeWire\Saved\los billis sexy girl has shaking orgasm during sex.mp3
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Incomplete\Preview-T-5745425-popurri cuentos de la cripta.mp3
C:\Documents and Settings\ASROCK\Mis documentos\XXAdriannaXX\LimeWire\Saved\grupo play - pensando en ti 192kb.mp3
C:\Documents and Settings\ASROCK\Mis documentos\XXAdriannaXX\LimeWire\Saved\los billis sexy girl has shaking orgasm during sex.mp3
C:\WINDOWS\system32\mswinsck.ocx

lo analizaremos y te diremos algo y actualiza tu pc que le falta el sp3 y actualizaciones posteriores, saludos

[msc hotline sat]

Y vemos que en los informes aparece:

No detectado SP3 de Windows XP

Lance un windowsupdxate y actualice parches !!!

y ademas de lo indicado por lucl, envienos este fichero para analizar:
C:\Archivos de programa\Windows Live\Messenger\msngserv.exe



y elimine estos otros:

C:\Documents and Settings\ASROCK\Escritorio\XXAdriannaXX\LimeWire\Saved\grupo play - pensando en ti 192kb.mp3
C:\Documents and Settings\ASROCK\Escritorio\XXAdriannaXX\LimeWire\Saved\los billis sexy girl has shaking orgasm during sex.mp3
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Incomplete\Preview-T-5745425-popurri cuentos de la cripta.mp3
C:\Documents and Settings\ASROCK\Mis documentos\XXAdriannaXX\LimeWire\Saved\grupo play - pensando en ti 192kb.mp3 C:\Documents and Settings\ASROCK\Mis documentos\XXAdriannaXX\LimeWire\Saved\los billis sexy girl has shaking orgasm during sex.mp3

Aparte tener en cuenta que en el RESTORE tiene "esperando" estos ficheros con los siguientes malwares:

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP219\A0100374.exe Infectados: Trojan.Win32.StartPage.cuk saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP219\A0101444.exe Infectados: Trojan.Win32.StartPage.cuk saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP219\A0102379.exe Infectados: Trojan.Win32.StartPage.cuk saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP219\A0107393.exe Infectados: Trojan-PSW.Win32.Agent.kzd saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP219\A0107394.exe Infectados: Trojan-PSW.Win32.Agent.kzd saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP219\A0107396.exe Infectados: Worm.Win32.AutoRun.qci saltado

Por lo que al final, una vez se haya controlado y limpiado todo lo activo, debe deshabilitar la restauracion de sistema, arrancar en modo seguro y lanzar las mismas utilidades y antivirus usados y asi eliminar estos que podrian volver a activarse si restaurase el sistema a un punto anterior que los contuviera

saludos
ms, 21-10-2008

[Mauro]

Ya envie las muestras:
C:\Archivos de programa\Windows Live\Messenger\msngserv.exe No encontrado.Enviado y aun no eliminado
C:\Documents and Settings\ASROCK\Escritorio\XXAdriannaXX\LimeWire\Saved\grupo play - pensando en ti 192kb.mp3 Encontrado.Enviado y eliminado.
C:\Documents and Settings\ASROCK\Escritorio\XXAdriannaXX\LimeWire\Saved\los billis sexy girl has shaking orgasm during sex.mp3 Encontrado.Enviado y eliminado.
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Incomplete\Preview-T-5745425-popurri cuentos de la cripta.mp3 Encontrado.Enviado y eliminado.
C:\Documents and Settings\ASROCK\Mis documentos\XXAdriannaXX\LimeWire\Saved\grupo play - pensando en ti 192kb.mp3 Encontrado.Enviado y eliminado.
C:\Documents and Settings\ASROCK\Mis documentos\XXAdriannaXX\LimeWire\Saved\los billis sexy girl has shaking orgasm during sex.mp3 Encontrado.Enviado y eliminado.
C:\WINDOWS\system32\mswinsck.ocx Encontrado.Enviado y aun no eliminadoC:\Archivos de programa\Windows Live\Messenger\msngserv.exe

y elimine estos otros:

C:\Documents and Settings\ASROCK\Escritorio\XXAdriannaXX\LimeWire\Saved\grupo play - pensando en ti 192kb.mp3 EliminadoC:\Documents and Settings\ASROCK\Escritorio\XXAdriannaXX\LimeWire\Saved\los billis sexy girl has shaking orgasm during sex.mp3 Eliminado
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Incomplete\Preview-T-5745425-popurri cuentos de la cripta.mp3 Eliminado y enviadoC:\Documents and Settings\ASROCK\Mis documentos\XXAdriannaXX\LimeWire\Saved\grupo play - pensando en ti 192kb.mp3 Eliminado
C:\Documents and Settings\ASROCK\Mis documentos\XXAdriannaXX\LimeWire\Saved\los billis sexy girl has shaking orgasm during sex.mp3 Eliminado

Es de notar y me parecio extraño que este msngserv.exe, no lo encontre buscandolo a pie a traves de las carpetas, pero si lo encontre a traves de la opcion de busqueda automatica, es decir que a pie en la carpeta: C:\Archivos de programa\Windows Live\Messenger\msngserv.exe, no lo veia, ¿sera que se mantenia oculto?, solo habia cinco archivos .exe: msnmsgr.exe, msvs.exe, e.exe, livecall.exe y usnsvc.exe.

Con respecto a los ficheros que están en RESTORE no se como eliminarlos. ¿como hago? y los dos que aun no he eliminado estoy esperando su autorización: msngserv.exe y mswinsck.ocx y despues realizare la ultima recomendación de revisar o través, quitando restauracion, me despido en espera.
Gracias y saludos.

[msc hotline sat]

Estamos a medias con sus muestras, pero de momento renombre al extension de este fichero a .VIR:

C:\Archivos de programa\Windows Live\Messenger\msngserv.exe

y tras reiniciar y cambiar la pagina de inicio del I.E. con el ELISTARA, de momento ya no creo que se le vuelva a cambiar.

Mañana terminaremos de analizar el OCX e informaremos cuando esté lista la utilidad quie los controle.

saludos
ms, 21-10-2008


NOTA sobre los del RESTORE, de momento no se preocupe, que están fuera de circulacion salvo que se restaurara sistema a un punto anterior.

Y ya le dije que " al final, una vez se haya controlado y limpiado todo lo activo, debe deshabilitar la restauracion de sistema, arrancar en modo seguro y lanzar las mismas utilidades y antivirus usados y asi eliminar estos que podrian volver a activarse si restaurase el sistema a un punto anterior que los contuviera"

Mañana seguiremos.

saludos
ms, 21-10-2008

[Mauro]

ok Gracias

[msc hotline sat]

es un placer ...



ms.

[Mauro]

hola como estan

estoy esperando las siguientes instrucciones, para elominer por completo todo lo activo de mi pc, parece que se volvio a activar el virus porqur me bloqueo el msconfig, no puedo iniciar en modo seguro, y esta bloqueado restauracion y bloqueo tambien Spybot - Search & Destroy y CCleaner. Y ahora que hago.

[lucl]

Descargate elistara de nuevo y ejecutalo en el pc, nos pegas el log saludos

[Mauro]

ok a eso voy gracias. veamos

[Mauro]

bueno aqui va el infosat:

Este fichero era .exe el me mandaron a colocarle .VIR MSNGSERV.VIR



Sat Oct 25 13:13:25 2008

EliStartPage v17.26 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Windows Live\Messenger\MSNGSERV.VIR --> Eliminado, StartPage-CUK



Nº Total de Directorios: 5338

Nº Total de Ficheros: 109784

Nº de Ficheros Analizados: 17413

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[Mauro]

El problema es que no puedo ejecutar el Elistara en modo seguro porque esta bloqueado...



Saludos....

[lucl]

Bien al menos ya te elimino uno pero creo que este falta por eliminar

C:\WINDOWS\system32\mswinsck.ocx

Supongo lo mantienes renombrado a .VIR verdad? Espera que lea Msc el mensaje y te diga algo sobre este OCX ya que el esta mas informado allí de lo que analizan, saludos

[msc hotline sat]

Bueno, el MSWINSCK.OCX es un archivo inicialmente normal usado por Windows para establecer una conexión a Internet (Windows Socket Communications):

http://www.virustotal.com/analisis/d887 ... e05c3427f2

pero cualquier fichero de cualquier nombre puede contener otra cosa que la inicialmente prevista... :

C:\WINDOWS\system32\mswinsck.ocx Infectados: Backdoor.Win32.VB.fnl saltado

Lo que dices que el ELISTARA se te bloquea, puede ser por maraña de temporales. Elimina los ficheros que haya en c:\windows\temp\ y prueba de nuevo.

Aparte, prueba tambien el ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

SI este C:\WINDOWS\system32\mswinsck.ocx Infectados: Backdoor.Win32.VB.fnl saltado nos lo enviaste para analizar, debería deetctarse con alguna de las ultimas versiones de nuestras utilidades ... compruebalo y nos lo aclaras, hoy domingo no puedo saberlo proque no estoy en el trabajo, claro

saludos
ms, 25-10-2008

[Mauro]

HOLAAAAAAA

No de olviden de mi, estoy esperando. Gracias

saludos.........

[lucl]

Eso quiere decir que descargaste de nuevo elistara y elitriip y los pasaste y no encontraron nada? Si no los probaste hazlo de nuevo y nos pegas el infosat saludos

[Mauro]

Saludos

No se que les paso que se olvidaron de mi, resolvi el problema yo solo, asi que pueden cerra el caso. Gracias por todo. 19 de noviembre 2008. :(

[msc hotline sat]

Alguna vez nos ha pasado a todos... :wink:



Pues ya que dices que está solucionado, lo celebramos y procedemos a cerrar el Tema



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 19-11-2008