Hola a todos,
Necesito ayuda con un virus.
Tengo el w32/gaobot.jmc.worm en mi pc.Mi SO es windows XP Home edition SP2
Tengo el panda como antivirus.El problema es que supuestamente el panda ya
borro el virus pero cada vez que reinicio la maquina el antivirus lo detecta
y lo borra otra vez.
He probado haciendo lo sgte (de la web de norton):
1.Desactive el system restore
2.Entre a safe mode y busque el virus y apunte las localidades.
3.Entre al regedit pero no encontre ningun registro con el nombre del virus
Que puedo hacer para borrar definitivamente el virus y como es que lo he
podido adquirir? he buscado informacion en la red sobre esa variante pero no
he encontrado nada.
Gracias
gaobot.jmc
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
En primer lugar decirle que de Gaobots hay mas de 4000 variantes, que por lo general son pareecidos, pero que no se resisten tanto como el suyo a ser eliminados.
Efectivamente, arrancando en modo seguro y deshabilitando la restauracion de sistema, el antivirus debería poder eliminar el virus, y supongo que lo hace, pero entiendo que su problema es que o bien se le regenera por algun dropper que lo hace, o bien le vuelve a entrar por los tipicos aguijeros de seguridad que aprovecha este gusano.
Baje nuestra utilidad ELITRIIP y si lo detecta y elimina, a ver si no se le reprodue, pero sobre todo, al final le dirá si detecta que le falta algun parche. Si es así, lance un windowsupdate (I.E -> Herramientas -> Windowsupdate)
Si esta utilidad no lo elimina, envienos muestra azonavirus@satinfo.es anexandola a un mail en cuyo texto indiqye REF GAOBOT.JMC u le implementaremos sy eliminacion en proxima version del ELITRIIP y le contestaremos como respuesta de este Tema
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
Si tiene los parches aplicados, y puede eliminar el virus pero se le regenera por la presencia de un dropper, que lo crea en el siguiente reinicio, o o lo descarga en el siguiente uso del navegador, necesitaríamos que nos enviara un log del HJT que copiara a tal efecto en un proximo post, de respuesta a este Tema, y veríamos de eliminar su carga. Si es el caso, envienos el log, generado tal como indicamos:
_____________
Instrucciones para enviarnos log del HiJackThis:
Bajar :
http://www.merijn.org/files/hijackthis.zip
Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.
______________
y nos mantiene informados de sus progresos, como respuesta de este Tema, gracias
saludos
ms, 22-07-2005
Efectivamente, arrancando en modo seguro y deshabilitando la restauracion de sistema, el antivirus debería poder eliminar el virus, y supongo que lo hace, pero entiendo que su problema es que o bien se le regenera por algun dropper que lo hace, o bien le vuelve a entrar por los tipicos aguijeros de seguridad que aprovecha este gusano.
Baje nuestra utilidad ELITRIIP y si lo detecta y elimina, a ver si no se le reprodue, pero sobre todo, al final le dirá si detecta que le falta algun parche. Si es así, lance un windowsupdate (I.E -> Herramientas -> Windowsupdate)
Si esta utilidad no lo elimina, envienos muestra a
ELITRIIP:
Si tiene los parches aplicados, y puede eliminar el virus pero se le regenera por la presencia de un dropper, que lo crea en el siguiente reinicio, o o lo descarga en el siguiente uso del navegador, necesitaríamos que nos enviara un log del HJT que copiara a tal efecto en un proximo post, de respuesta a este Tema, y veríamos de eliminar su carga. Si es el caso, envienos el log, generado tal como indicamos:
_____________
Instrucciones para enviarnos log del HiJackThis:
Bajar :
Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.
______________
y nos mantiene informados de sus progresos, como respuesta de este Tema, gracias
saludos
ms, 22-07-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Para los usuarios del foro, SATINFO analiza muestras sospechosas que se piden segun los Temas, pero los logs del HJT hay que enviarlos al foro para analizar, y se comentan en el foro, para conocimiento de todos.
Nos has enviado un log a SATINFO, que no procedía pues este servicio de analisis de HJT , SATINFO lo reserva a usarios que tienen contratado el servicio de asistencia tecnica con SATINFO, que no es el caso.
En consecuencia copio aqui dicho log de HJT para su analisis en el foro:
Logfile of HijackThis v1.99.1
Scan saved at 01:21:24 p.m., on 23/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\jre1.5.0_01\bin\jucheck.exe
C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe
C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Updates from HP\309731\Program\Updates from HP.exe
C:\Program Files\NetAssistant\bin\mpbtn.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\WINDOWS\system32\rsvp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\gggggggg\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =http://www.jaiskqawbrej.com/2HNx4XZT_JYkyLaUrLg8AJ3DUjfralJdfLcLrzjg58HeLcC0axdlJ2bd59nYWa9i.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://sympatico.msn.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: HP view - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [IPInSightLAN 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe" -l
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [cpds] C:\WINDOWS\cpds.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [scrbmk] "C:\WINDOWS\scrbmk.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [LanGuard] "C:\WINDOWS\languard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NetAssistant.lnk = C:\Program Files\NetAssistant\bin\matcli.exe
O4 - Global Startup: Updates from HP.lnk = C:\Program Files\Updates from HP\309731\Program\Updates from HP.exe
O8 - Extra context menu item: Add To HP Organize... - C:\PROGRA~1\HEWLET~1\HPORGA~1\bin\core.hp.main\SendTo.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) -http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
Sobre el mismo cabe indicar:
Lanza de nuevo el HJT u marca las siguientes claves, y eliminalas con FIX:
O3 - Toolbar: HP view - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [IPInSightLAN 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe" -l
y esta pagina de busqueda es muy extraña, si no la conoces (que no creo) eliminala tambien:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =http://www.jaiskqawbrej.com/2HNx4XZT_JYkyLaUrLg8AJ3DUjfralJdfLcLrzjg58HeLcC0axdlJ2bd59nYWa9i.html
y tras reiniciar, elimina los ficheros:
C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
Visto que hay llamadas a about blank como pagina de inicio, pasa el ELISTARA, e indicale eliminar la pagina de inicio actual y, cuando te pida cual poner, ponle una comohttp://www.google.es , pero no una en blanco, para poder eneterarte de cuando es eliminada o modificada por algun spyware:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Y tras ello nos cuenta el resultado como respuesta de este Tema, gracias
saludos
ms, 25-07-2005
Nos has enviado un log a SATINFO, que no procedía pues este servicio de analisis de HJT , SATINFO lo reserva a usarios que tienen contratado el servicio de asistencia tecnica con SATINFO, que no es el caso.
En consecuencia copio aqui dicho log de HJT para su analisis en el foro:
Logfile of HijackThis v1.99.1
Scan saved at 01:21:24 p.m., on 23/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\jre1.5.0_01\bin\jucheck.exe
C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe
C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Updates from HP\309731\Program\Updates from HP.exe
C:\Program Files\NetAssistant\bin\mpbtn.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\WINDOWS\system32\rsvp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\gggggggg\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: HP view - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [IPInSightLAN 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe" -l
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [cpds] C:\WINDOWS\cpds.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [scrbmk] "C:\WINDOWS\scrbmk.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [LanGuard] "C:\WINDOWS\languard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NetAssistant.lnk = C:\Program Files\NetAssistant\bin\matcli.exe
O4 - Global Startup: Updates from HP.lnk = C:\Program Files\Updates from HP\309731\Program\Updates from HP.exe
O8 - Extra context menu item: Add To HP Organize... - C:\PROGRA~1\HEWLET~1\HPORGA~1\bin\core.hp.main\SendTo.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
Sobre el mismo cabe indicar:
Lanza de nuevo el HJT u marca las siguientes claves, y eliminalas con FIX:
O3 - Toolbar: HP view - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [IPInSightLAN 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe" -l
y esta pagina de busqueda es muy extraña, si no la conoces (que no creo) eliminala tambien:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
y tras reiniciar, elimina los ficheros:
C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
Visto que hay llamadas a about blank como pagina de inicio, pasa el ELISTARA, e indicale eliminar la pagina de inicio actual y, cuando te pida cual poner, ponle una como
ELISTARA:
Y tras ello nos cuenta el resultado como respuesta de este Tema, gracias
saludos
ms, 25-07-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
De lo que se le pedía muestra si el ELITRIIP no se lo eliminaba, es del fichero que se detecta infectado por este Gaobot.JMC,:
y de este no hemos recibido muestra, pero tampoco nos dice que lo haya ya eliminado.
Informenos al respecto, como respuesta de este Tema, gracias (y si todavía lo tiene, envienos dicha muestra)
saludos
ms, 25-07-2005
PD: Además, el ELITRIIP pudo indicarle algo sobre los parches MS04-011 y MS04-012 lo cual tampoco nos comenta. Copienos el script del fichero C:\INFOSAT.TXT en su proximo post, para ver si procede lanzar windowsupdate o no.
ms.
[quote]
Si esta utilidad no lo elimina, envienos muestra azonavirus@satinfo.es anexandola a un mail en cuyo texto indique REF GAOBOT.JMC u le implementaremos sy eliminacion en proxima version del ELITRIIP y le contestaremos como respuesta de este Tema[/quote]
y de este no hemos recibido muestra, pero tampoco nos dice que lo haya ya eliminado.
Informenos al respecto, como respuesta de este Tema, gracias (y si todavía lo tiene, envienos dicha muestra)
saludos
ms, 25-07-2005
PD: Además, el ELITRIIP pudo indicarle algo sobre los parches MS04-011 y MS04-012 lo cual tampoco nos comenta. Copienos el script del fichero C:\INFOSAT.TXT en su proximo post, para ver si procede lanzar windowsupdate o no.
ms.
Última edición por msc hotline sat el 31 Jul 2005, 09:29, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
1. He eliminado los sgtes archivos con el HJT:
O3 - Toolbar: HP view - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [IPInSightLAN 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe" -l
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =http://www.jaiskqawbrej.com/2HNx4XZT_JYkyLaUrLg8AJ3DUjfralJdfLcLrzjg58HeLcC0axdlJ2bd59nYWa9i.html
y los ficheros:
C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
este ultimo no lo he podido eliminar,el sistema me dice que esta en uso.
2.Pase el elistara y le cambie la pagina de inicio.
3. Este es el resultado del infosat.txt:
Sat Jul 23 12:59:51 2005
EliTriIP v1.54 (c)2005 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones:
No detectado Parche MS04-011 de Microsoft instalado.
No detectado Parche MS04-012 de Microsoft instalado.
Sat Jul 23 13:01:56 2005
EliTriIP v1.54 (c)2005 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones:
No detectado Parche MS04-011 de Microsoft instalado.
No detectado Parche MS04-012 de Microsoft instalado.
Sat Jul 23 13:19:12 2005
EliTriIP v1.54 (c)2005 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones:
No detectado Parche MS04-011 de Microsoft instalado.
No detectado Parche MS04-012 de Microsoft instalado.
Sat Jul 30 08:30:19 2005
EliStartPage v10.16 (c)2005 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Entrada Eliminada [HKLM\...\Run] "QuickTime Task"=""C:\Program Files\QuickTime\qttask.exe" -atboottime"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Sat Jul 30 08:38:48 2005
EliStartPage v10.16 (c)2005 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
C:\WINDOWS\system32\ltfil13n.dll --> Eliminado, WinAd
Sat Jul 30 08:50:12 2005
EliTriIP v1.54 (c)2005 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones:
No detectado Parche MS04-011 de Microsoft instalado.
No detectado Parche MS04-012 de Microsoft instalado.
No he instalado los parches respectivos ya que en la pagina del windows update no existen dichas versiones para el XP SP2.
4. Cada vez que reinicio la maquina el panda me sigue detectando y eliminando el gaobot.jmc y el windows security me muestra un mensaje donde me dice que el firewall y el antivirus estan off,despues de unos minutos desaparece el aviso.
gracias.
O3 - Toolbar: HP view - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [IPInSightLAN 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe" -l
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
y los ficheros:
C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
este ultimo no lo he podido eliminar,el sistema me dice que esta en uso.
2.Pase el elistara y le cambie la pagina de inicio.
3. Este es el resultado del infosat.txt:
Sat Jul 23 12:59:51 2005
EliTriIP v1.54 (c)2005 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones:
No detectado Parche MS04-011 de Microsoft instalado.
No detectado Parche MS04-012 de Microsoft instalado.
Sat Jul 23 13:01:56 2005
EliTriIP v1.54 (c)2005 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones:
No detectado Parche MS04-011 de Microsoft instalado.
No detectado Parche MS04-012 de Microsoft instalado.
Sat Jul 23 13:19:12 2005
EliTriIP v1.54 (c)2005 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones:
No detectado Parche MS04-011 de Microsoft instalado.
No detectado Parche MS04-012 de Microsoft instalado.
Sat Jul 30 08:30:19 2005
EliStartPage v10.16 (c)2005 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Entrada Eliminada [HKLM\...\Run] "QuickTime Task"=""C:\Program Files\QuickTime\qttask.exe" -atboottime"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Sat Jul 30 08:38:48 2005
EliStartPage v10.16 (c)2005 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
C:\WINDOWS\system32\ltfil13n.dll --> Eliminado, WinAd
Sat Jul 30 08:50:12 2005
EliTriIP v1.54 (c)2005 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones:
No detectado Parche MS04-011 de Microsoft instalado.
No detectado Parche MS04-012 de Microsoft instalado.
No he instalado los parches respectivos ya que en la pagina del windows update no existen dichas versiones para el XP SP2.
4. Cada vez que reinicio la maquina el panda me sigue detectando y eliminando el gaobot.jmc y el windows security me muestra un mensaje donde me dice que el firewall y el antivirus estan off,despues de unos minutos desaparece el aviso.
gracias.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
pues lanza el antivirus y envianod el fichero que te detecta infectado por el Gaobot.JMC si es que tofavñia lo tienes, pues el ELITRIIP no lo ha detectado. Puede ser que lo hayas eliminsdo manualmente
Tras ello, abre el navegador I.E., ve a Herramientas, selecciona windowsupdate,. que busque las actualizaciones pendientes y qiue las instale, pues sin ellas volverias a infectarte a pesar del antivirus.
saludos
ms, 31-07-2005
Tras ello, abre el navegador I.E., ve a Herramientas, selecciona windowsupdate,. que busque las actualizaciones pendientes y qiue las instale, pues sin ellas volverias a infectarte a pesar del antivirus.
saludos
ms, 31-07-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online