Hola:
Hace poco el niño abrió una supuesta foto que en realidad era un exe, llamado "Yo y Lucas". Ahora tengo en Windows Prefetch varios archivos pf con el nombre "Yo y Lucas". Y continuamente se intenta conectar a Internet (menos mal que tengo el Zone Alarm). He chequeado el ordenata con el escaneo en línea del Pc Cillín y no me detecta nada. También me bajé el Trojan Remover y tampoco encuentra nada raro.
¿Que puedo hacer?
Gracias de antemano.
Posible troyano
para empesar... pasa el elitrip y el elistara, ya que es algo mafimiar al ultimo virus de las fotos .
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
descarhalos y escania tu pc deshabilitando la restauracion del sistema, al finalizar reinicia la pc y nos cuenta el resultado como respuesta del tema
saludos
ELITRIIP:
ELISTARA:
descarhalos y escania tu pc deshabilitando la restauracion del sistema, al finalizar reinicia la pc y nos cuenta el resultado como respuesta del tema
saludos
"el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
Gracias por la ayuda Buitre.
El caso es que ayer intenté eliminar los archivos pf, pero me quedó uno sin poder eliminar. Esta mañana, sin embargo, no había resto alguno y no ha vuelto a intentar conectarse a internet. De todas formas le he pasado los dos programas que me recomendaste y no ha detectado nada raro.
Lo dicho, gracias.
El caso es que ayer intenté eliminar los archivos pf, pero me quedó uno sin poder eliminar. Esta mañana, sin embargo, no había resto alguno y no ha vuelto a intentar conectarse a internet. De todas formas le he pasado los dos programas que me recomendaste y no ha detectado nada raro.
Lo dicho, gracias.
quieres decir que no te detecto nada?...si es asi pasa este programa
http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp
el hijackthis dale en scan and save log file o algo asi la que dice save y cuando acabe de escanear se va ha abrir un bloc de notas, copia el contenido y pegalo aqui como respuesta del tema
saludos
el hijackthis dale en scan and save log file o algo asi la que dice save y cuando acabe de escanear se va ha abrir un bloc de notas, copia el contenido y pegalo aqui como respuesta del tema
saludos
"el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Parece que se trata de una nueva variante no controlada de un malware que utiliza un gusano con el nombre de "Yo y Lucas.exe"
Si tuvieras copia de dicho fichero EXE )no de lo pfm que son prefetch y no sirven), dinoslo y te indicariamos como enviarnoslo para poder examinarlo y controlarlo para otras veces.
Sino, ya eliminado todo, dinos si está resuelto para poder cerrar el Tema.
saludos
ms, 18-1-2006
Si tuvieras copia de dicho fichero EXE )no de lo pfm que son prefetch y no sirven), dinoslo y te indicariamos como enviarnoslo para poder examinarlo y controlarlo para otras veces.
Sino, ya eliminado todo, dinos si está resuelto para poder cerrar el Tema.
saludos
ms, 18-1-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Para msc hotline: desgraciadamente eliminé el archivo donde venía el gusano de los cojones.
Aquí está el log:
Logfile of HijackThis v1.99.1
Scan saved at 19:25:45, on 18/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\sm56hlpr.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\ACD Systems\ES\DevDetect.exe
C:\ARCHIV~1\BVRPSO~1\POWERT~1\BVRPOlr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\Javier\CONFIG~1\Temp\Rar$EX00.812\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\ARCHIV~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Archivos de programa\Power Translator\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Device Detector] "C:\Archivos de programa\Archivos comunes\ACD Systems\ES\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [PowerTranslator Pro OLR] C:\ARCHIV~1\BVRPSO~1\POWERT~1\BVRPOlr.exe /PowerTranslator Pro
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) -http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128775412765
O17 - HKLM\System\CCS\Services\Tcpip\..\{B990F401-E188-40F4-A132-F554492DCA42}: NameServer = 62.36.225.150 62.37.228.20
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
A ver que podéis decirme. Y gracias por las molestias que os estáis tomando
Aquí está el log:
Logfile of HijackThis v1.99.1
Scan saved at 19:25:45, on 18/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\sm56hlpr.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\ACD Systems\ES\DevDetect.exe
C:\ARCHIV~1\BVRPSO~1\POWERT~1\BVRPOlr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\Javier\CONFIG~1\Temp\Rar$EX00.812\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\ARCHIV~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Archivos de programa\Power Translator\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Device Detector] "C:\Archivos de programa\Archivos comunes\ACD Systems\ES\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [PowerTranslator Pro OLR] C:\ARCHIV~1\BVRPSO~1\POWERT~1\BVRPOlr.exe /PowerTranslator Pro
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{B990F401-E188-40F4-A132-F554492DCA42}: NameServer = 62.36.225.150 62.37.228.20
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
A ver que podéis decirme. Y gracias por las molestias que os estáis tomando
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
A ver si conoces este proceso:
C:\ARCHIV~1\BVRPSO~1\POWERT~1\BVRPOlr.exe
Si no lo has instalado ni lo conoces, elimina esta clave:
O4 - HKLM\..\Run: [PowerTranslator Pro OLR] C:\ARCHIV~1\BVRPSO~1\POWERT~1\BVRPOlr.exe /PowerTranslator Pro
Y esto parece un tradictor, haz lo mismo que con la anterior
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
Aparte de esto, en el log no hay nada mas anormal
saludos
ms, 18-1-2006
C:\ARCHIV~1\BVRPSO~1\POWERT~1\BVRPOlr.exe
Si no lo has instalado ni lo conoces, elimina esta clave:
O4 - HKLM\..\Run: [PowerTranslator Pro OLR] C:\ARCHIV~1\BVRPSO~1\POWERT~1\BVRPOlr.exe /PowerTranslator Pro
Y esto parece un tradictor, haz lo mismo que con la anterior
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
Aparte de esto, en el log no hay nada mas anormal
saludos
ms, 18-1-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues no los toques, por esto te lo preguntaba.
Entonces ya no hay nada que tocar. Tu log está limpio
Esto no quiere decir que tengas bien todo lo demás. Piedes tener la gerencia del troyano o virus que eliminaste, del cual no tenemos datos ni existe en Internet referencia del mismo con los datos que nos has dado.
Mira si perssiten las anomalias, y si las hay, sinos cuales, intentaremos adivinar que es lo que te hizo, pero sin la muestra, vete a saber...
saludos
ms, 19-1-2006
Entonces ya no hay nada que tocar. Tu log está limpio
Esto no quiere decir que tengas bien todo lo demás. Piedes tener la gerencia del troyano o virus que eliminaste, del cual no tenemos datos ni existe en Internet referencia del mismo con los datos que nos has dado.
Mira si perssiten las anomalias, y si las hay, sinos cuales, intentaremos adivinar que es lo que te hizo, pero sin la muestra, vete a saber...
saludos
ms, 19-1-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online