Un gusano que envia correos no deseados (solucionado)(

MAGO OSCURO · Mensaje por **MAGO OSCURO** » 01 Ago 2005, 05:22

Pues ya descuendo se me hasia muy raro que mi coneccion aveses iva lento pero le instales el mcafee y pues me detento esto y pues quisiera saber como lo evito ya que yo siempre le paso antivirus online por lo menos 3 veses a la semana y pues hasta ahorra no me a detectado nada no se que puede haser para evitar esto pues este es el mas resiente lista que me hiso el hijackthis, pero ahorra el mcafee me marca este programa como virus me detecta el virus "W32/Sober.p@MM" bueno espero que me ayuden en algo con esto..

Logfile of HijackThis v1.99.1

Scan saved at 04:47:07 p.m., on 31/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\keyhook.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\SinEspias\no-spy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\AnalogX\Proxy\proxy.exe

C:\Archivos de programa\SpywareGuard\sgmain.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Archivos de programa\SpywareGuard\sgbhp.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\TELMEX\Prodigy Infinitum\app\TangoService.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Administrador\Mis documentos\programas\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Proxy.lnk = C:\Archivos de programa\AnalogX\Proxy\proxy.exe

O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Archivos de programa\TELMEX\Prodigy Infinitum\app\TangoService.exe

Mensaje por **flacoroo** » 01 Ago 2005, 06:27

bajate este programita, de ahi pones tu computadora en modo seguro y corres el programita, te dejo el link....y borras todos los archivos temporales...

http://www.zonavirus.com/datos/descargas/103/ELISOBEAEXE.asp

Mensaje por **msc hotline sat** » 01 Ago 2005, 10:06

Tras aplicar la correcta solucion indicada por Flacoroo, que te eliminarña el virus SOBER que tienes en el ordenador, puedes volver a lanzar el HJT, marcar estas claves, y eliminarlas con FIX:

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

Tras ello, informenos del resultado como respuesta de este TEMA, gracias

saludos

ms, 1-08-2005

MAGO OSCURO · Mensaje por **MAGO OSCURO** » 01 Ago 2005, 11:59

pues las soluciones me paresen bien pero tengo una graves problemas con ellas, primero pues los archivos tecporales no son problema ya que tengo CCleaner y otro paresido, segundo pues descarge programa que me diron pues lo use cuando windows estaba en modo a pruebba de fallo y no me detecto nada...

ahora respecto al HJT, no puedo eliminar esas claves el HJT no las puede eliminar a porsieto si les sirve para ayudarme mientras el analisisi del programita me digo que se nego acceso al carpeta

System volumen information (22)

MAGO OSCURO · Mensaje por **MAGO OSCURO** » 02 Ago 2005, 06:27

lo que no entiendo hasta ahorra es pq el mcafee me detecta el hijackthis como un virus sin importar de que pagina lo baje..

y pues este problema pues surge en cualquier moemente ( que empiesa a enviar spam ) es cuando estoy descargando algo ( no se si para ocultar sus actividades) pero tambien lo que quisiera saber es como puede enviar el spam el mcafee me detecta cuando comiensa el problema que envia unos 5 mensajes en 30 segundos, vaya realmente no se como logra eso ( malvados los que se dedican haser estos programas realmente super malisiosos, podrian ganar tanto dinero trabajando en empresas enves de haser estan cosas )

Mensaje por **msc hotline sat** » 02 Ago 2005, 07:15

Posiblemente el antivirus McAfee ya le eliminino dicho virus cuando se lo detectó.

Y no se preocupe del system volunme information si no detecta virus en ninguna otra parte. Es carpeta reservada a la que podrá acceder si arranca del mismo modo pero deshabilita la restaurtacion de sistema.

Posiblemente ya no tenga dicho virus. Compruebelo lanzando un antivirus ONLINE:

https://www.virustotal.com/es/

saludios

ms, 2-08-2005

MAGO OSCURO · Mensaje por **MAGO OSCURO** » 02 Ago 2005, 09:20

bueno el problema es que el antivirus no detecta el bicho si no que dice " actividad potencial de gusano o virus" pero bueno, lo analizare de inmediato y pues te dare los resultdos.

ed: y no nay problema con que el hj no aiga borrados los registro indicados¿?

ed2: pues le pase el antivurus en linea que me distes y no me dio nin resultado totalmente limpio, y pues e consegido un nuevo firewall ya veremos como me va..

Mensaje por **msc hotline sat** » 02 Ago 2005, 13:16

Tal como le indiqué, el McAfee le eliminó el virus y logicamente el ONLINE ya no le detecta nada.

Sobre ficheros de actividad potencialmente peligrosos, no son necesariamente virus, sino aplicaciones, a veces complementos del sistema operativo, que pueden permitir control remoto por parte externa, lo cual sin ser virus, puede ser peligroso.

Tambien hay aplicaciones troyanas que pueden serlo.

Las primeras las puede localizar el antivirus, aunque no las elimine, ya que no se trata de virus, y si el usuario quiere, es cuestion de que las desinstale desde agregar-quitar programas y si son troyanas, con un antispyware, siguiendo lo indicado en el tutorial al respecto:

https://foros.zonavirus.com/viewtopic.php?t=4795

Pero de virus olvidese, que ya no tiene, por ahora.

saludos, 2-08-2005

MAGO OSCURO · Mensaje por **MAGO OSCURO** » 03 Ago 2005, 19:12

pues gracias por su ayuda, ahorra con el nuevo de firewall que tegno me va muy bien ya que el de windows realmente no ayuda, pues por ahorra el problema ya esta salucionado..

Mensaje por **msc hotline sat** » 03 Ago 2005, 19:43

Pues solucionado el problema, procedemos a cerrar el Tema

saludos

ms, 3-08-2005