Virus?Troyano?? (solucionado)

[chivino]

Desde hace unos dias me aparece en la pantalla una ventana con un mensaje que se pone en primer plano. El título de la ventana es: "Messenger Service" y el contenido es el siguiente:



Mensaje de Security Check a Current User el 28/05/2004 16:10:34

Stay Longer! Go HARDER! BE BIGGER!.... y unas cuantas lineas más y un enlace a la pagina http://www.thebiggest.net



Estos mensajes aparecen de vez en cuando y algunas veces bastante seguidos.



Tengo Windows 2000 y el Panda 2004, que no detecta virus.

Pasé el Ad-aware y el Spybot 1.3 y me muestra el DSO Exploit. ¿Está relacionado con las ventanas o es algo distinto?



Tambien me ocurre algo con el Panda, que no se si guarda relación. Al reiniciar el equipo, aparece la protección del Panda desactivada, y antes de apagarlo estaba desactivada. ¿Alguna idea?



Gracias por vuestra ayuda.

Un saludo

[msc hotline sat]

Vea si corresponde a lo indicado en el siguiente link:



http://www.amath.washington.edu/courses/383-winter-2004/messages/msg00027.html



saludos



ms, 1-06-2004

[chivino]

Si es algo parecido, pero a mi no me llega por correo electronico, es un mensaje que sale en un pop-up y se coloca en el centro de la pantalla.

[msc hotline sat]

Pues en lugar de un SPAM publicitario, se tratará de un popup propio de algun adware o spyware.



Baje el Spybot, instalelo, actualicelo y lancelo, y elimine bichos, con lo que probablemente eliminará este residente.



Si no lo consiguiera, lance el HIJACKTHIS, y en un proximo post haga un copiar y pegar del resultado, para ver los ficheros que carga residentes y poder proceder a la eliminacion del culpable:



Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema



· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp







· Hijackthis

Sitio 1 - Descargar Hijackthis

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Sitio 2 - Descargar Hijackthis desde zonavirus.com

http://www.zonavirus.com/descargas/hijackthis.zip







saludos



ms, 1-06-2004

[chivino]

He lanzado el Spybot y me encuentra un DSO Exploit. Lo elimino pero el analizar otra vez, vuelve a aparecer...



Lanzando el HijackThis (Por cierto, ¿qué hace este programa?) me da el siguiente log:



Logfile of HijackThis v1.97.7

Scan saved at 22:56:34, on 01/06/2004

Platform: Windows 2000 SP2 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\LEXBCES.EXE

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\LEXPPS.EXE

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\Pavsrv50.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe

C:\WINNT\loadqm.exe

C:\WINNT\System32\internat.exe

C:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\Apvxdwin.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\CHIVINO\Mis documentos\Programas\Spybot\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Abrir Panda Titanium Antivirus 2004.lnk = C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\AVLITE.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: FlashGet (HKLM)

O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2004\pavlsp.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2004\pavlsp.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2004\pavlsp.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab









Un saludo.

[carolxsiempre]

hola deshabilita el servico de mensajeria de windows.



Siguiendo los siguientes pasos:



Haga clic en Inicio y luego seleccione Panel de control.

Haga doble clic en Herramientas administrativas.

Haga doble clic en Servicios.

Haga doble clic en Mensajero.

De la lista que aparece en Tipo de inicio seleccione Deshabilitado.

Haga clic en Detener y a continuación seleccione Aceptar.



Saludos

Carolxsiempre

[msc hotline sat]

Entiendo que es una especie de SPAM vía messenger ?



Carol, amplia detalles, please.



saludos



ms, 2-06-2004

[carolxsiempre]

Sacando la bolita mágica, jajajajj son bromas, pero para mayor información ir a :



http://mariuxdf.freeshell.org/web/a/winsucks/wmspam.htm



http://www.stopmessengerspam.com/sms1_released/sms1_released1.html



http://www.msn.es/informatica/antispam/messenger/Default.asp?Ath=f





Saludos

Carolxsiempre

[msc hotline sat]

Con que SPAM en el servicio de Messenger, eh?



Es lo que suponía, pero no tenía información.



Que escondido lo tenías, Carol !



Gracias por compartirlo.



saludos



ms, 2-06-2004

[carolxsiempre]

Dnd, espero sirva de ayuda.





Saludos a todos

Carolxsiempre

[chivino]

Carol y msc gracias por vuestra ayuda.



Un saludo!!!

[carolxsiempre]

Ok chivino, esperamos que con la información proporcionada hayas logrado solventar el problema.





Saludos

Carolxsiempre

[msc hotline sat]

Considerando solucionado el asunto, se cierra el Tema