mil ventanas d propaganda

razh · Mensaje por **razh** » 08 Nov 2005, 19:44

me salen un monton d ventanas d propaganda si m podeis decir q tengo q eliminar porq he pasado todos los programas q he encontrado y todavia m siguen saliendo

muxas gracias :lol:

Logfile of HijackThis v1.99.1

Scan saved at 19:46:39, on 13/02/2001

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\htpatch.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\ntvdm.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\HIJO\Escritorio\BAJAX ULTIMATE\PROGRAMATU\SEGURIDAD\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\system32\nnnon.dll

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\RunOnce: [FoxeCleaner] C:\Archivos de programa\Foxie Suite\Cleaner.exe /i

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{CB5899F6-478D-439E-84C7-E98C73E8F3DD}: NameServer = 62.36.225.150 62.37.228.20

O20 - Winlogon Notify: nnnon - C:\WINDOWS\system32\nnnon.dll

O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\irnql5551.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cm8\command.exe (file missing)

Mensaje por **msc hotline sat** » 08 Nov 2005, 20:00

Te recomiendo pasar el ELISTARA y si te detecta alfun fichero sospechosos que te pide nos envies, hazlo para que podamos analizarlo y controlarlo con nuestras utilidades.

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Aparte, Y revisa estas claves, y si no son aplicaciones conocidas que hatas instalados, eliminalas

O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\system32\nnnon.dll

O4 - HKCU\..\RunOnce: [FoxeCleaner] C:\Archivos de programa\Foxie Suite\Cleaner.exe /i

O20 - Winlogon Notify: nnnon - C:\WINDOWS\system32\nnnon.dll

020 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\irnql5551.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cm8\command

Tras ello, reinicia y mira si se han eliminado los problemas y nos lo cuentas como respùeta de este Tema

saludos

ms, 8-11-2005

razh · Mensaje por **razh** » 08 Nov 2005, 20:40

esto es lo q m sale ahora

Logfile of HijackThis v1.99.1

Scan saved at 20:42:16, on 13/02/2001

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\htpatch.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\HIJO\Escritorio\BAJAX ULTIMATE\PROGRAMATU\SEGURIDAD\HijackThis.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\Notepad.exe

C:\WINDOWS\system32\rundll32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\system32\nnnon.dll

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{CB5899F6-478D-439E-84C7-E98C73E8F3DD}: NameServer = 62.36.225.150 62.37.228.20

O20 - Winlogon Notify: nnnon - C:\WINDOWS\system32\nnnon.dll

O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\fpn0035me.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cm8\command.exe (file missing)

parece q no se han borrado

razh · Mensaje por **razh** » 08 Nov 2005, 20:42

por cierto las ventanas se me abren solo una vez q he abierto el explorer

nose si significara algo :?

razh · Mensaje por **razh** » 08 Nov 2005, 23:25

creo q es el nnnon.dll q esta en sistem32 pero no m dja eliminarlo ni en modo a prueba d fallos

sabeis algun programa o manera d eliminarlo¿¿¿¿

Mensaje por **msc hotline sat** » 09 Nov 2005, 08:33

Posiblemente sea el culpable, por ecistor dos veces su carga en el registro, lo cual es muy sospechoso.

Pruebe de arrancar en modo seguro y lanzar el HJT, marcar estas claves y eliminarlas:

O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\system32\nnnon.dll

O20 - Winlogon Notify: nnnon - C:\WINDOWS\system32\nnnon.dll

O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\fpn0035me.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cm8\command.exe (file missing)

La explicacion de que se cargue cuando lanza el I.E. estña en la primera clave, un BHO (BRowse Helper Object) que se lanzan con él.

Y lo de eliminar dichio fichero, pruebe con el KILLBOX:

[url=http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp]~~[b]~~killbox[/b][/url] para eliminar proceso activo de un fichero y luego eliminar el fichero

Lance tambien el ELISTARA y envienos muestras de lo que se lo indique, como posiblemente hará en su caso.

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 9-11-2005

Mensaje por **msc hotline sat** » 09 Nov 2005, 08:41

Si puedes envianos este fichero nnnon.dll a zonavirus@satinfo.es anexado a un mail en el que como texto indiques "REF nnnon" y lo analizaremos e informaremos, aparte de incluir su control en nuestras utilidades si corresponde

saludos

ms, 9-11-2005

Mensaje por **msc hotline sat** » 09 Nov 2005, 16:03

Recibida la muestra. No la detecta ni McAfee. Es una nueva variante del VIRTUALMUNDO o VUNDO

Ahora estamos con una nueva variante del Bagle qye nos ha hecho sudar esta malana hasta que la hemos pisado. Tras hacer el ELIBAGLA para él, procederemos a implementar en el ELISTARA el control y eliminacion del nnnon.dll, arrancando en modo seguro como hacíamos con los otros VUNDO.

Informaremos cuando subamos a esta web ña version en cuestion, que será esta tarde Dios mediante.

saludios

ms, 9-11-2005

saludos

razh · Mensaje por **razh** » 09 Nov 2005, 16:49

ok muxas gracias, el p**o nnnon.dll no lo consigo eliminar con nada creo q lo piye bajando un crack en andr.net

Mensaje por **msc hotline sat** » 09 Nov 2005, 19:11

Pues ya sabes, no bajes cracks que bam contra las Leyes del Copyright que nos protegen a todos los profesionales del sector.

Sobre este nnnon.dll, una vez nos podemos dedicar a él (hemos estado todo el día liados con un nuevo Bagle que ya hemos pasado a controlar) vemos que se instala en una class que lo lanza a traves de un WinLogol Notify, cargandose en el arranque.

Puedes mirar si puedes mover o renombrar dicho fichero, mientras hacemos la utilidad de control y eliminacion, para que, tras apagar, en el siguiente reinicio no lo pueda poner en marcha, y asi poder eliminar las claves y demás-

Seguiremos mañana, que hoy se nos mezclan los conceptos de los dos virus, y hemos de resetear en la cama.

De todas formas ya tenemos la experiencia del anterior VUNDO, y este, cambiando la class, la cadena de deteccion, y las claves para recargarse en el inicio, se supone que tendremos menos sorpresas que con el Bagle de hoym y podremos desarrollar la utilidad correspondiente sin problemas.

Lo unico que puede ser es que haya un dropper no conocido que lo genere, y que eliminado este, nos lo vuelva a generar, pero no adelantemos acontecimientis...

Hasta mañana si Dios quiere.

saludos

ms, 9-11-2005

en proceso...

Mensaje por **msc hotline sat** » 10 Nov 2005, 11:51

Terminada la version 10.57 del ELISTARA.EXE en la que hemos incluido la eliminacion de nnnon.dll asi como de las claves que genera, lo hemos subido ya a esta web para su posible descarga y pruebas de evaluacion de este foro:

---v10.57-(10 de Noviembre del 2005) (Muestras de Vundo "NNNON.DLL", NewDotNet "NDNUNINSTALL4_85.EXE", BackDoor-CFO "WSTART.DLL" y NaviPromo "MSCLOCK32.DLL")

Pruebalo descargandolo del link indicado en post anterior, y tras ejecutarlo, reinicias y nos cuentas el resultado, gracias

saludos

ms, 10-11-2005

razh · Mensaje por **razh** » 10 Nov 2005, 23:12

pues parece que no lo puede eliminar :

lo he pasado 1 vez normal y otra en modo seguro esto m sale:

Thu Feb 15 22:42:22 2001

EliStartPage v10.57 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

[WinLogon\Notify\CSCSETTINGS]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\IRRSL5971.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\NNNON] -> C:\WINDOWS\SYSTEM32\NNNON.DLL

C:\WINDOWS\SYSTEM32\NNNON.DLL --> VirtualMundo o Vundo Renombrado a .VIR

C:\WINDOWS\SYSTEM32\NNNON.DLL --> VirtualMundo o Vundo Renombrado a .VIR

Eliminada Class, "{79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 15 22:47:10 2001

EliStartPage v10.57 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\Winamp\UninstWA.exe --> AutoExtraible

C:\Documents and Settings\HIJO\Escritorio\BAJAX ULTIMATE\PROGRAMATU\AUDIO\winamp5092_full_emusic-7plus.exe --> AutoExtraible

C:\Documents and Settings\HIJO\Escritorio\BAJAX ULTIMATE\PROGRAMATU\VIDEO\REPRODUCTORES\winamp509_full_emusic-8basic.exe --> AutoExtraible

C:\WINDOWS\system32\nxscript.exe --> AutoExtraible

el hijack m sale:

Logfile of HijackThis v1.99.1

Scan saved at 23:15:09, on 15/02/2001

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\htpatch.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\system32\nnnon.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{CB5899F6-478D-439E-84C7-E98C73E8F3DD}: NameServer = 62.36.225.150 62.37.228.20

O20 - Winlogon Notify: nnnon - C:\WINDOWS\system32\nnnon.dll

O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\fp2003fme.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cm8\command.exe (file missing)

j**e vaya p**o virus!!!

razh · Mensaje por **razh** » 10 Nov 2005, 23:41

he conseguido eliminar el nnnon.dll iniciando el ordenador desd otro disco duro vamos a la fuerza.

el caso es q m siguen saliendo las ventanas d propaganda este es el log:

ogfile of HijackThis v1.99.1

Scan saved at 23:40:11, on 15/02/2001

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\htpatch.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{CB5899F6-478D-439E-84C7-E98C73E8F3DD}: NameServer = 62.36.225.150 62.37.228.20

O20 - Winlogon Notify: nnnon - C:\WINDOWS\system32\nnnon.dll (file missing)

O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\irl6l53s1.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cm8\command.exe (file missing)

nose igual es otro archivo mirad a br si veis algo

muxas gracias

Mensaje por **msc hotline sat** » 11 Nov 2005, 06:59

Bueno, sí que lo quitamos de circulacion, pues renombramos su extension a .VIR, que lo deja inactivo, y aparte eliminamos la clave, que siendo un winlogon notify es de lo mas dificil

Key Eliminada [WinLogon\Notify\NNNON] -> C:\WINDOWS\SYSTEM32\NNNON.DLL

C:\WINDOWS\SYSTEM32\NNNON.DLL --> VirtualMundo o Vundo Renombrado a .VIR

el que persistiera el fichero no era problema, si bien la diofocultad de eliminacion que indicas nos sorprende, pues al no estar en uso ya debería dejarse eliminar facilmente, a no ser por sus atributos ??? Lo estudiaremos de nuevo y te inforaremos, gracias.

o es que el que eliminaste no estaba renombrado con extension .VIR ??? , no sea que el otro fichero del que te pedimos muestra sea un complementario que restaure el primero caso de ser eliminado o renombrado, lo cual podría ser...

por eso es importante qiue nos envies la muestra que se te pide en este nuevo informe del ELISTARA:

"Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\IRRSL5971.DLL

a "virus@satinfo.es". Gracias."

si no lo has hecho aun, mejor envianosla a zonavirus@satinfo.es indicando como referencia "REF nnnon" , para poder informarte como respueta de este Tema, gracias

Bueno, por lo menos esto casi esta controlado, y cuando recibamos la muestra, espero que quede liquidado del todo.

Voy a ver ahora tu log, a ver que queda

Pues estamos en lo cierto, existe algo residente que lo repone si lo dejamos poner en marcha, y a traves de un winlogon notify lo hace siempre, igual que la clave, que ha persistido a pesar de haberla eliminado

El sistema que has empleado de hacerlo desde otra máquina es totalmente correcto y efectivo, pero claro, un poco engorroso. En estos caso, podemos arrancar con el CD de instalacion, acceder a la consola de recuperacion y desde DOS eliminar lo que se quiera, pues del disco duro no hay nada en uso entonces.

Vamos a ver si el fichero muestra que nos enviarás tiene algo que ver, y terminaremos de pulir el problema, pues no es suficiente con lo que hemos hecho hasta ahora,

Mira ademas de eliminar ahora las siguienets claves que aun te quedan:

O20 - Winlogon Notify: nnnon - C:\WINDOWS\system32\nnnon.dll (file missing)

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cm8\command.exe (file missing)

las cuales se supone que lanzando ahora el ELISTARA podría eliminarlas, pero ya puestos, eliminalas como quieras.

Y aparte fijate que tenemos otro winlogon notify lanzando esta otra DLL:

O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\irl6l53s1.dll

que no es el mismo nombre que la IRRSL5971.DLL que le pedimos, pero nos tememos que vaya cambianmdo de nombre en cada arranque... para hacernoslo fácil !!!

La que encientres o las dos u otra si ya ha cambiado de nombre (miralo lanzando otro HJT) interesa que nos envies, pues tiene su malicia y todavía no lo has eliminado del todo.

Y es que quien (o quienes) han hecho este malware es gamberro, pero no tonto !!!

Seguiremos hasta el final, que hasta ahora los hemos pisado a todos, y llevamos mas de 155.000 (!)

saludos

ms, 11-11-2005

razh · Mensaje por **razh** » 11 Nov 2005, 11:20

bueno m ha pasado esto:

baje el archivo q m infecto para mandroslo a ver si os servia para algo, pero parece q han cambiado de virus bueno d hecho esta vez me han colado un monton de virus:

-el spysheriff

-www.coolwebsearch

y mas q todavia no he encontrado

he borrado 1 monton de registro y estos archivos:

- i0lola331d.dll

- fp6203joe.dll

- paytime.exe

si quereis muestras d alguno los tengo en la papelera de reciclaje. pero parece q ninguno d estos es responsable de las dichosas ventanitas.

ahora paso el elistara y os mando lo q m diga

Mensaje por **msc hotline sat** » 11 Nov 2005, 11:35

Las muestras las necesitamos de todo lo que no sea detectado o conocido. lo que ya se controla normalmente ya esta estudiado y salvo bariante. no es necesario

Esperamos recibir la que te pediamos o la que veas que se carga en las 020 del HJT, por el winlogomn notify, como la del nnnon.dll, ya que nos parece que en cada arrancada va a cambiar de nombre.

Esta sí, pues puede que sea la que te estñe descargando troyanos en cada arrancada.

saludos

ms, 11-11-2005

razh · Mensaje por **razh** » 11 Nov 2005, 11:43

las 2 q he eliminado m decia el elistara q os las mandara pero creo q no tienen q ver cn las ventanitas sino q son virus distintos si q os las mando no¿

me ha detectado otra k462lejo1hoc.dll 1 akbo d eliminar ahora veo si es d las ventanitas o no

bueno os mando todas vale¿¿ (todas estas m salian en el elistara) ahora reinicio y paso el hijack y t digo

Mensaje por **msc hotline sat** » 11 Nov 2005, 11:51

Las que el ELISTARA te indica que nos las envies son muestras de ficheros sospechosps, que pueden tener relacion o no, pero esto lo veremos al examinarlas, por esto las pedimos.

Envianoslas y te comentaremos lo que son, si tienen algo que ver y obraremos en cualquier caso segun proiceda.

saludos

ms, 11-11-2005

razh · Mensaje por **razh** » 11 Nov 2005, 14:00

YA NO M SALEN VENTANITAS!!!!!!!

x fin parece q lo he conseguido, he eliminado el archivo pqapi.dll y ya no m salen, el archivo cambiaba d nombre cada vez q se reiniciaba

este es el log ahora:
Logfile of HijackThis v1.99.1
Scan saved at 14:01:26, on 16/02/2001
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Ahead\Nero StartSmart\NeroStartSmart.exe
C:\Archivos de programa\Ahead\nero\nero.exe
C:\WINDOWS\System32\imapi.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\HIJO\Escritorio\BAJAX ULTIMATE\PROGRAMATU\SEGURIDAD\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB5899F6-478D-439E-84C7-E98C73E8F3DD}: NameServer = 62.36.225.150 62.37.228.20


O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\pqapi.dll (file missing)




O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cm8\command.exe (file missing)

creo q ya esta, si falta algo m decis vale¿

ya os he enviado los archivos ya contareis d q van

gracias

Mensaje por **msc hotline sat** » 11 Nov 2005, 15:35

Pues mira si puedes eliminar estos dos FILE MISING que te han quedado. La última ya lo eliminaría el ELISTARA de hoy, pero la primera al no conocer las rutinas del fichero lo haremos en el proximo ELISTARA cuando ya hayamos analizado tu muestra

O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\pqapi.dll (file missing)

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cm8\command.exe (file missing)

Tu puedes eliminar las claves ya, y listos

Tras el analisis, informaremos

saludos

ms, 11-11-2005

Mensaje por **msc hotline sat** » 11 Nov 2005, 16:01

Bueno, recibidas las muestras, de entrada salta McAfee antispyware avisando de la presnecia de Look2Me, que son adwares comerciales con desinstalacion obligada por Ley...:

De todas formas estos los controlaremos con el ELISTARA, si bien se pueden desinstalar con ellos mismo, y la opcion adecuada de desinstalacion, que debe indicar el autor en alguna parte de su web...

http://www.zonavirus.com/descargas/elistara.asp

Recomiendo leer el articulo de ADMIN indicado en el link.

y no cierro el Tema para poder indicarte el lunes la version del ELISTARA en la que incluimos el control total, de ficheros y claves de esta variante. Es posible que simplemente arrancando en modo seguro en solo simbolo de sistema ya sea suficiente para ejecutar el ELISTARA y corregirlo, pues el winlogon se añade al explorer, y si este no es cargado en el arranque al hacerlo con la opcion indicada, no hará falta arrancar con otro disco como hiciste, ni siquiera con CDROM en consola de recuperacion, sino en simbolo de sistema, tercera opcion de modo seguro.

Jasta el lunes

saludos

ms, 11-11-2005

efraingh · Mensaje por **efraingh** » 14 Nov 2005, 04:56

Hola, he logrado eliminar unos dll que abrian paginas de publicidad, pero tengo un problema (aunque ya no tan serio ya que marca el hijackthis file missing), pero el hijackthis no puede eliminar la linea 023 que marca el command.exe como servicio.

He escrito estas lineas ya que veo que en este post manejan esa linea tambien.

Ante el problema que se tenia y viendo ese command.exe que estaba en servicios lo detuve desde los servicios de windows, y ahora con el file missing si intento iniciar el servico marca error porque ya no esta el archivo, pero no puedo eliminar como decia esa linea de command.exe con el hijackthis o desde los servicios de windows.

Podrian comentar como puede eliminarse esa linea?

Gracias por la ayuda que puedan brindar

Efrain

Mensaje por **msc hotline sat** » 14 Nov 2005, 06:02

Ya se ha comentado varias veces en este foro que el COMMAND.EXE es un adware (CommAd) que se elimina desde hace tiempo con el ELISTARA.

Es recomendable la utilizacion del buiscador del foro... con ello se obtienen inmediatas respuestas ONLINE a problemas ya solucionados en anteriores Temas.

En esta caso, entrando "COMMAND and EXE", se v en muchas, incluida esta con la noticia de que ya es controlado desde la version 10.48

Descargalo y pruebalo, y nos comentas el resultado como respuesta de este Teama, gracias

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 14-11-20'05:

Mensaje por **msc hotline sat** » 14 Nov 2005, 18:42

Pues bajate la nueva version 10.59 del ELISTARA que esperamos te lo resuelva todo.

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

y comentanos el resultado, gracias

saludos

ms, 14-11-2005

mil ventanas d propaganda

mil ventanas d propaganda

Problema similar con unos dll...