virus en cuenta de MSN y Hotmail (TERMINADO)

[Maricarmen Silva]

Creo que tengo un virus, no se si es en mi msn o el en hotmail, ya que reviso mi pc y aparece limpio. El problema es que cuando me conecto en mi msn y abro mi hotmail, inmediatamente aparece que se ha conectado uno de mis contactos del msn, yo se que esa persona no se ha conectado y le hablo y aparece un mensaje "No se pudo entregar el mensaje siguiente a todos los destinatarios:".

Pienso que es el hotmail, ya que cuando no lo habro (estando conectada en el msn) no me aparece que se ha conectado, lo probé desde distintos buscadores, el Mozilla Firefox, y desde Google Chrome, y es lo mismo. Y tengo otra cuenta de Msn y hotmail donde tambien tengo agregado a este contacto, tambien hice lo mismo, de conectarme al msn y luego al hotmail, y no me aparece lo anterior.

[msc hotline sat]

Pues prueba el ELISTARA y nos posteas el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



Y si en el informe no se detectara nada ni pidiera muestra para analizar, envianos el log generado por el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 25-10-2010

[Maricarmen Silva]

De hecho ni siquiera el Elistara ha detectado algun virus, lo he hecho varias veces y aparece nada.

[Maricarmen Silva]

Gracias: este es el fichero que se obtubo despues de ejecutar SProcLog.txt:

(25-10-2010 05:23:59 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: Equipo01

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\IDT\XPV_5902_012208\WDM\STACSV.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\MOM.EXE

C:\ARCHIVOS DE PROGRAMA\VIMICRO CORPORATION\VMUVC\VMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\UTORRENT\UTORRENT.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\CCC.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT\SEARCH ENHANCEMENT PACK\SEAPORT\SEAPORT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\TUPROGST.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\DOWLOAD\SPROCES.EXE

[msc hotline sat]

El log del SPROCES es nmucho mas largo, postealo entero y lo analizaremos



saludos



ms, 25-10-2010



NOTA:

Y ya que has pasado el ELISTARA, posteanos tambien el contenido del infosat.txt, asi veremos la version que estas pasando y demas...



ms.

[msc hotline sat]

Aparte de faltar el log entero, vemos que te faltan parches:



Parche MS08-067 (Servicio Servidor) NO Instalado.



lanza un windowsupdate e instala los que detecte que faltan, sino pueden entrar los virus para los que se han hecho dichos parches.



saludos



ms, 25-10-2010

[Maricarmen Silva]

Este es lo que reporttó la ultima ejecucion:



(25-10-2010 05:14:22 (GMT))

EliStartPage v21.82 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3644

Nº Total de Ficheros: 25821

Nº de Ficheros Analizados: 7477

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[Maricarmen Silva]

Disculpe la verdad no me habi9a dado cuenta de ese detalle, aca esta completo el reporte de Sproclog.txt

Muchas gracias por la ayuda..



(25-10-2010 05:23:59 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: Equipo01

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\IDT\XPV_5902_012208\WDM\STACSV.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\MOM.EXE

C:\ARCHIVOS DE PROGRAMA\VIMICRO CORPORATION\VMUVC\VMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\UTORRENT\UTORRENT.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\CCC.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT\SEARCH ENHANCEMENT PACK\SEAPORT\SEAPORT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\TUPROGST.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\DOWLOAD\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: (no name) - {76c9124c-a245-4453-9bf6-ae2c6516600c} - (no file)

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [uTorrent] "C:\Archivos de programa\uTorrent\uTorrent.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [StartCCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe

O4 - HKLM\..\Run: [VMonitorVMUVC] "C:\Archivos de programa\Vimicro Corporation\VMUVC\VMonitor.exe" VMUVC

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 456576 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 717296 bytes) ()



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SeaPort - Microsoft Corp. - C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\archivos de programa\idt\xpv_5902_012208\wdm\STacSV.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: PPdus ASPI Shell (Afc) - Arcsoft, Inc. - C:\WINDOWS\SYSTEM32\drivers\Afc.sys

O23 - Service: NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller (AtcL002) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\l251x86.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: IDT High Definition Audio CODEC (STHDA) - IDT, Inc. - C:\WINDOWS\SYSTEM32\drivers\sthda.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: Vimicro Camera Service VMUVC (VMUVC) - Vimicro Corporation - C:\WINDOWS\SYSTEM32\Drivers\VMUVC.sys

O23 - Service: Vimicro Camera Filter Service VMUVC (vvftUVC) - Vimicro Corporation - C:\WINDOWS\SYSTEM32\drivers\vvftUVC.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



25 Servicios.

11 de Carga Automatica.

13 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Pues aparte de la falta de parches ya indicada,



Parche MS08-067 (Servicio Servidor) NO Instalado.



para lo cual conviene que lance un WINDOWSUPDATE, no se aprecia claves viricas ni ficheros sospechosos en el log, y si en la primera parte del infosat.txt (analisis por accion directa), que tampoco nos envia, no indica que nos envie muestras para analizar o informa de alguna detección que ya elimina, si el problema persiste, sugerimos cree una nueva cuenta y vea si persiste el problema, si persiste es que posiblemente alguien le entra por IP, bien por hackeo o bien por usar rputer con wireless.



Si usa internet por wireless, evite dicha posibilidad (de que un vecino esté compartiendo su IP) conectandolo via cable y bloqueando la salida de wireless.



Es todo lo que le podemos decir al respecto, no vemos que se trate de virus, pero por si se tratara de algun Rootkit que lo ocultara, lance el McAfee Rootkit detective y posteenos el informe resultante, SOBRE TODO EL FINAL:



ROOTKITDETECTIVE (ACCESO AL LINK DE DESCARGA)

http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip



Informenos en cualquier caso, gracias



saludos



ms, 25-10-2010

[Maricarmen Silva]

Muchas gracias por la ayuda, instale el parche que faltaba y unas actualizaciones que me solicitó al hacerlo, ademas me di cuenta que no era tan solo en mi pc el problema, ya que inicie desde otro equipo y realice lo mismo y nuevamente me ocurrió lo ya mencionado.

De ante mano muchas Gracias por la paciencia y ayuda.

Saludos.

[msc hotline sat]

Ello confirma que probablemente sea causado por la ADSL que usas o por causas comunes con las de este equipo, y por lo que entendemos ya lo das por crónico, por lo cual damos el Tem,a por terminado y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 27-10-2010