Adobemgr.exe(Troj.clicker)y Troj.downloader.openstream.w (!)

[xosele]

Despues de haber leido todo(creo) lo necesario:



El ordenador ha comenzo a ir un pco demasiado lento ayer por la noche , no le di la mayor importancia , pues era " a ratos" ...hoy me he decidido a investigar.



Veo algun archivo que no me cuadra.... un tal "adobemgr.exe" que al final creo es el problema...

Hago un analisis con a-squared hijackfree y me encuentra lo siguiente:



Proceso: csrss.exe id:248 INFO:THREADS:9 Prioridad:NORMAL Visible:NO

BUENO:1 MALO:1 (Se supone hay una copia vete tu a saber)

Requiere Atención!Compare los detalles con sus valores locales.

Que hago?Como lo encuentro?Es una falsa alarma?



Le paso el Spybot y me encuentra:



Isearchteach.ysb

Advertising.com

Netsys(clsid)



Los elimina sin problemas.



Le paso el adaware y mientras esta analizando me salta el NOD32 avisando de los siguientes , que no puede ni borrar, ni poner en cuarentena , ni nada:

Nod32 Virus Infected :2

Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \javainstaller.jar-3c936701-2af5ba7d.zip/javainstaller/InstallerApplet.class Infected: Trojan-Downloader.Java.OpenStream.w



Tengo que cerrar el nod32, acaba el analisis del lavasoft y no encuentra nada .



Extrañado, le paso el nod32 con heuristica avanzada.Lo mismo.lo encuentra pero nada que hacer.(Mi confianza en Nod32 esta cayendo por momentos, porque no me ha avisado nunca?)



Le paso el Kaspersky on-line y encuentra esto y uno mas:



1-Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \javainstaller.jar-3c936701-2af5ba7d.zip/javainstaller/InstallerApplet.class Infected: Trojan-Downloader.Java.OpenStream.w

2-Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \javainstaller.jar-3c936701-2af5ba7d.zip Infected: Trojan-Downloader.Java.OpenStream.w

3-Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \javainstaller.jar-5aa0b436-2a72531f.zip/javainstaller/InstallerApplet.class Infected: Trojan-Downloader.Java.OpenStream.w

4-Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \javainstaller.jar-5aa0b436-2a72531f.zip Infected: Trojan-Downloader.Java.OpenStream.w



Me dirijo a mirar y en la misma carpeta hay infinidad de comprimidad y applet class con lo que no toco nada por si es del Java.Que hago lo borro todo ?Solo las infectadas?



5-WINNT\system32\adobemgr.exe Infected: Trojan-Clicker.Win32.VB.jy



Busco información de este en la red y pone que es muy reciente , tanto que es del 28 de Noviembre....Lo elimino de la dirección a la de ya!



Le paso el Hijackthis y aqui les dejo el log , dandoles las gracias anticipadas y esperando alguna recomendación provechosa.

Ah, me gustaria indicar que yo era usuario de Kaspersky con quien no me entro nunca nada...me decidi a probar a pesar de todo el Nod32 por que se comentaba era igual de bueno pero mas rapido.Y hasta ahora mismo en que todavio me pregunto, como Kaspesky ya lo tiene en su lista y el NOd32 cree que es nuestro amigo....:(



Ahi va el log:

Logfile of HijackThis v1.99.1

Scan saved at 22:46:12, on 01/12/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

C:\Archivos de programa\Bluetooth\Software Bluetooth\bin\btwdins.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\sdpasvc.exe

C:\WINNT\system32\tcpsvcs.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Bluetooth\Software Bluetooth\BTTray.exe

C:\Archivos de programa\Pando Networks\Pando\pando.exe

C:\WINNT\system32\NOTEPAD.EXE

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = nscbest1.rs1.nuria.telefonica-data.net:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ARCHIV~1\FlashFXP\IEFlash.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\fgiebar.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [FSWebServer] C:\Archivos de programa\Raxokeus\Easy File Sharing Web Server\fsws.exe

O4 - HKCU\..\Run: [PopMessenger] C:\Archivos de programa\Raxokeus\PopMessenger\PopMessenger.exe

O4 - HKCU\..\Run: [Stickies] C:\Archivos de programa\Stickies\Stickies.exe

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Startup: No-IP DUC.lnk = C:\Archivos de programa\No-IP\DUC20.exe

O4 - Global Startup: BTTray.lnk = C:\Archivos de programa\Bluetooth\Software Bluetooth\BTTray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Descarregar fent servir FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descarregar TOT amb FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Bluetooth\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll

O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Bluetooth\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Bluetooth\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9B86BA09-6B69-4082-886B-3B9153CC53AD}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{B6A78184-1A98-4267-AAC0-3911E9A2F867}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{9B86BA09-6B69-4082-886B-3B9153CC53AD}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS2\Services\Tcpip\..\{9B86BA09-6B69-4082-886B-3B9153CC53AD}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINNT\system32\btxppanel.dll

O20 - Winlogon Notify: ActiveSync - C:\WINNT\SYSTEM32\WcesWlgn.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Archivos de programa\Bluetooth\Software Bluetooth\bin\btwdins.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Easy File Sharing Web Service - EFS Software, Inc. - c:\Archivos de programa\Easy File Sharing Web Server\fswsService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe

O23 - Service: SDPAUMS server service (SDPASVC) - Matsushita Electric Industrial Co.,Ltd. - C:\WINNT\system32\sdpasvc.exe



Un saludo.

Editar/Borrar Mensaje

[maura63]

Conoces estas entradas :?:





C:\WINNT\system32\sdpasvc.exe - Unknown

C:\Archivos de programa\Pando Networks\Pando\pando.exe -

O4 - HKLM\..\Run: [FSWebServer] C:\Archivos de programa\Raxokeus\Easy File Sharing Web Server\fsws.exe -

O4 - HKCU\..\Run: [PopMessenger] C:\Archivos de programa\Raxokeus\PopMessenger\PopMessenger.exe -

O20 - Winlogon Notify: ActiveSync - C:\WINNT\SYSTEM32\WcesWlgn.dll -

O23 - Service: Easy File Sharing Web Service - EFS Software, Inc. - c:\Archivos de programa\Easy File Sharing Web Server\fswsService.exe -





Saludos

maura63

[xosele]

No se si tendra que ver ..pero he ido a poner el Spybot como residente..y en la pestaña "Ignorar partes internas del sistema " aprece lo siguiente bajo mi desconocimiento:



%JavaDir%\QTJava.zip

install.exe

winnt32.exe

MsoHtmEd.exe

Editar/Borrar Mensaje

[xosele]

Si , la primera esd e una camara de fotos de panasonic, la segunda es un programa de intercambio(que va de maravilla por cierto, lo recomiendo , esta empezando pero se sale), el tercero es un servidor web, el cuarto un mensajero de red local(que ya esta desinstalado o eso creia yo),el quinto es el rograma para sincronizar la pda con el pc y el esta repetido pq tb es del servidor web.



Acabo de ver tb en el spybot en comprobar "Partes internas del sistema"(Busca inconsistencias del registro) aparece el install.exe y el winnt32.exe que te comente en el post de arriba y el texto "La ruta de aplicación es erronea"

[xosele]

Una cosa mas....buscando el nombre de la clave adobemgr la encuentro aqui:



HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersio n\Modules\NOD32\Settings\Config001\Settings

Target000 REg SZ C:\Winnt\system32\adobemgr.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersio n\Modules\Imon\Settings



Ahora que recuerdo, me salio algo de que la configuracion local imon de internet habia cambiado....

[maura63]

Descarga y pasas esta utilidad



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





Saludos

maura63

[xosele]

A donde me remites , no me baja nada...me abre una ventana igual a la que aparece al linkear....



Y que hago con todo lo demas.....borro los java de ese directorio?Solo lo sque me parecian infectados?Todos lo que habian?

[xosele]

Era problema del Firefox,ya he podido bajarmelo con el Explorer y ejecutarlo.Lo primero que me apa reció fue esto:

[WinLogon\Notify\ActiveSync]Por favor envienos una muestra del fichero c:\WINNT\System32\wceswlgn.dll (pero no me quede con la dirección.

Ha escaneado y ha eliminado esto:



itfil13n.dll--->WinAd.dll

dummy.cd_clint.dll--->Cydoor

No tengo que fijar nada con el hijack this?Que hago con el java?



:shock:

[xosele]

Se me vuelve otra vez lenta....y de repente se ha ido todas las imagenes....cuando han lento el icono del nod32 esta semitransparente y el firefox esta ocupando toda la memoria del pc....

[msc hotline sat]

Tal como te dice el ELISTARA, se crea un log de salida en C:\INFOSAT.TXT, donde verás lo que te ha detectado, eliminado y pedido muestras, para enviar a virus@satinfo.es que es la cuenta donde se reciben las muestras solicitadas por las utilidades, aparta de las solicitadas personalmente en zonavirus, que tienen otro tratamiento.



Enviando dicha muestra, será analizada, controlada y eliminada en siguiente version del ELISTARA.EXE, incluso la semana que viene. pues:


[quote="msc"]
NOTA SOBRE LA SEMANA PROXIMA:



En España son festivos los días martes dia 6/12 y jueves dias 8/12 , de la semana próxima, habiendo muchas empresas que hacen puente algún día (lunes, miercoles, o viernes) o viaducto toda la semana... En SATINFO trabajamos todos los dias laborables de esta semana con la mitad de plantilla, haciendo turnos, pero no cerrando el servicio tecnico mas que los declarados festivos, por lo que muestras, utilidades y demás, seguirán siendo atendidas. ms.
[/quote]

saludos



ms, 3-12-2005

[xosele]

Llamem paranoico , pero he visto una especie de punto blanco muy pequeño(varias veces)moviendose por mi pantalla....y dos puntos blancos mientras escribo esto...... y esto sigue yendo lento lento...La cpu la tengo al 100% constantemente !!!otros programas que no son el elistara me encuentran cosas(de las que no ha pedido muestras el elistara) pero no saben decirme que hacer "adobemgr, csrss doble..." Con el hijackthis no hago nada entonces... y si no es mucha mlestia la semana que viene donde puedo pasarle el elistara actualizado?

Gracias por todo.

[msc hotline sat]

A lo mejor es que nieva !!! :lol: :lol: :lol: :lol:



Que sííííí, que no es paranoia tuya, sino de nuestro ADMIN, que como que viene Navidad...



(Como que en Valencia no nieva, pues os la pone virtual :lol: :lol: :lol:



Lo puso a 120 flops y nevaba mucho pero ralentizaba bastanrte, y creo que lo dejó a 90 y no llega a cuajar, no hacen falta las quitanieves...

:lol: :lol:



Aparte de esto, haberlos hailos, como las meigas, y troyanos tienes... pero si el ELISTARA ni te detecta nada ni te pide muestra, señal de que esta que podría serlo no lo es...:



O20 - Winlogon Notify: ActiveSync - C:\WINNT\SYSTEM32\WcesWlgn.dll



a no ser que lo haya eliminado y no te hayas enterado... Copianos el log de C:\infosat.txt en tu proximo post y asi veremos qué ha hecho y lo comentamos



saludos



ms, 3-12-2005

[xosele]

Despues de iniciar mi pc esta mañana y ahora que ya ha cargado todo me dispongo a postear el *.txt



INFO.TXT ELISTARA





Fri Dec 02 15:24:30 2005

EliStartPage v10.70 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

[WinLogon\Notify\ACTIVESYNC]

Por favor, envienos una muestra del fichero

C:\WINNT\SYSTEM32\WCESWLGN.DLL

a "virus@satinfo.es". Gracias.

C:\WINNT\WEB\RELATED.HTM --> Eliminado

C:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL --> Eliminado FlashGet (TB)

C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL --> Eliminado FlashGet (BHO)

Eliminada Class, "{E0E899AB-F487-11D5-8D29-0050BA6940E3}"

Eliminada Class, "{FB5DA722-162B-11D3-8B9B-AA70B4B0B524}"

Eliminada Class, "{FB5DA724-162B-11D3-8B9B-AA70B4B0B524}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Dec 02 15:27:06 2005

EliStartPage v10.70 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINNT\SYSTEM32\LTFIL13N.DLL --> Eliminado, WinAd

C:\Documents and Settings\Administrador\Escritorio\AxCrypt-Setup.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Escritorio\Descargas\Programas Pocket Pc\pocketrar350.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Escritorio\Descargas\Programas Pocket Pc\ChessPPC.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Escritorio\Extraer-Nuevos Programas\Nod32 + Crack\Nod32.AntiVirus.2.12.4.exe --> AutoExtraible

C:\Archivos de programa\Raxokeus\RegHealer\uninst.exe --> AutoExtraible

C:\Archivos de programa\Raxokeus\Matroska Pack\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\Raxokeus\Webteh\BSplayerPro\uninstall.EXE --> AutoExtraible

C:\Archivos de programa\Raxokeus\SpeedFan\uninstall.exe --> AutoExtraible

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\DUMMIES\DUMMY.CD_CLINT.DLL --> Eliminado, CyDoor

C:\Archivos de programa\iPodder\uninst.exe --> AutoExtraible

C:\Archivos de programa\Axon Data\AxCrypt\AxCryptU.exe --> AutoExtraible

C:\Archivos de programa\Axon Data\AxCrypt\1.6.1\Notify.exe --> AutoExtraible

C:\Archivos de programa\Flickr Uploadr\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\Shutterbook Uploader\uninst.exe --> AutoExtraible

C:\Archivos de programa\Passware\un-kit_ent.exe --> AutoExtraible

C:\Archivos de programa\Chatango\uninstall.exe --> AutoExtraible



Fri Dec 02 16:11:33 2005

EliStartPage v10.70 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Documents and Settings\Administrador\Escritorio\AxCrypt-Setup.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Escritorio\Descargas\Programas Pocket Pc\pocketrar350.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Escritorio\Descargas\Programas Pocket Pc\ChessPPC.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Escritorio\Extraer-Nuevos Programas\Nod32 + Crack\Nod32.AntiVirus.2.12.4.exe --> AutoExtraible

C:\Archivos de programa\Raxokeus\RegHealer\uninst.exe --> AutoExtraible

C:\Archivos de programa\Raxokeus\Matroska Pack\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\Raxokeus\Webteh\BSplayerPro\uninstall.EXE --> AutoExtraible

C:\Archivos de programa\Raxokeus\SpeedFan\uninstall.exe --> AutoExtraible

C:\Archivos de programa\iPodder\uninst.exe --> AutoExtraible

C:\Archivos de programa\Axon Data\AxCrypt\AxCryptU.exe --> AutoExtraible

C:\Archivos de programa\Axon Data\AxCrypt\1.6.1\Notify.exe --> AutoExtraible

C:\Archivos de programa\Flickr Uploadr\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\Shutterbook Uploader\uninst.exe --> AutoExtraible

C:\Archivos de programa\Passware\un-kit_ent.exe --> AutoExtraible

C:\Archivos de programa\Chatango\uninstall.exe --> AutoExtraible



Fri Dec 02 16:55:03 2005

EliStartPage v10.70 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

[WinLogon\Notify\ACTIVESYNC]

Por favor, envienos una muestra del fichero

C:\WINNT\SYSTEM32\WCESWLGN.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Dec 04 20:50:09 2005

EliStartPage v10.70 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Dec 04 20:52:03 2005

EliStartPage v10.70 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\patch_pers_5.0.388_to_5.0.390.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Escritorio\AxCrypt-Setup.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Escritorio\Descargas\Programas Pocket Pc\pocketrar350.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Escritorio\Descargas\Programas Pocket Pc\ChessPPC.exe --> AutoExtraible

C:\Archivos de programa\Raxokeus\RegHealer\uninst.exe --> AutoExtraible

C:\Archivos de programa\Raxokeus\Matroska Pack\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\Raxokeus\Webteh\BSplayerPro\uninstall.EXE --> AutoExtraible

C:\Archivos de programa\Raxokeus\SpeedFan\uninstall.exe --> AutoExtraible

C:\Archivos de programa\iPodder\uninst.exe --> AutoExtraible

C:\Archivos de programa\Axon Data\AxCrypt\AxCryptU.exe --> AutoExtraible

C:\Archivos de programa\Axon Data\AxCrypt\1.6.1\Notify.exe --> AutoExtraible

C:\Archivos de programa\Flickr Uploadr\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\Shutterbook Uploader\uninst.exe --> AutoExtraible

C:\Archivos de programa\Passware\un-kit_ent.exe --> AutoExtraible

C:\Archivos de programa\Chatango\uninstall.exe --> AutoExtraible

C:\ARCHIVOS DE PROGRAMA\SPYWAREBLASTER\SBAUTOUPDATE.EXE --> Eliminado, WinAd (Dropper)

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\DUMMIES\DUMMY.CD_CLINT.DLL --> Eliminado, CyDoor



:evil:



Tb se me ocurrio ejecutar un tal " mwav.exe " amigo del elistara y me dijo que mi pc tenia visitantes .Me dio sus nombres:



Object bearshare (2)

Object redv(2)

Object whenu.savenow(2)

Object zipitpro

Archivo mIRC.exe marcado como not-a-virus CLIENT-IRC.WIN32.mIRC616

found in Filesystem



y me dio tb algunos errores mientras escaneaba.

Que fem? Al fem?.....

Espero ansioso su ayuda para no seguir destrozando el ordenador



P.d Dile al admin que no es dia 28 de Diciembre todavia....que entonces sera una fecha mas adecuada para la nieve :wink:

[msc hotline sat]

Pues:



"Por favor, envienos una muestra del fichero

C:\WINNT\SYSTEM32\WCESWLGN.DLL

a "virus@satinfo.es". Gracias."



No sé si enviaste la muestra que te pidió el ELISTARA- Si no lo has hecho, hazlo pero enviala a zonavirus@satinfo.es anexado a un mail en cuyo texto indiques como referemcia "REF WCESWLGN" y tras analizarlo te contestaremos como respuesta a este Tema, sino en la cuenta de virus llegan cientos de mails, que se aplican a las utilidades, pero anonimamente si no es un usuario con licencia de uso de las mismas (Con contrato en vigor de SATINFO).



Informanos si lo haces, para perseguirlo, gracias


[quote="ms"]ANULADA LA REFERENCIA ANTERIOR POR YA HABER SIDO ANALIZADO ANTERIORMENTE, SEGUN INDICA POSTERIORMENTE EL USUARIO, ms.[[/quote]



saludos



ms, 7-12-2005

[xosele]

A ver , pq yo creo que aqui cada dia os poneis uno distinto y....Si que mande el archivo y me dijisteis que ese no tenia nada.....pero si lo he vuelto a postear es pq vosotros me lo indicais unos post mas abajo...que lo posteara y que ya me comentabais.Despues de eso , tambien os indicaba que habia pasado otro programa que vosotros indicais un tal " mwav" que detecta pero no elimina y que me encontró:



Object bearshare (2)

Object redv(2)

Object whenu.savenow(2)

Object zipitpro

Archivo mIRC.exe marcado como not-a-virus CLIENT-IRC.WIN32.mIRC616

found in Filesystem



Un saludo

[msc hotline sat]

Pues como que no fui yo quien te dijo que usaras este "MWAV" , me retiro de este Tema y que te ayude quien te lo aconsejó



Y perdona si te he pedido lo mismo dos veces... Atendemos en nuestro servicio de asistencia tecnica donde trabajo (SATINFO) a mas de 160.000 usuarios registrados, de los que se atienden unas 200 incidencias diarias, y cuando puedo ayudo altruistamente a este foro, y lo hago con mucho gusto pero a toda pastilla y en ocasiones me puedo repetir al no releer todos los post de un Tema, pero sin duda tienes razón, te dejo en las buenas manos de los demás.



saludos



ms, 6-12-2005



NOTA: Olvida mi post anterior a este. Retiro la referencia indicada para el analisis. ms.