pj.exe, ¿que es?

[marisolsol]

Muy buenas,

haciendo una comprobacion en el norton internet security, he visto que habia una aplicacion con acceso a internet que no se que es, se llama [b]pj.exe[/b] ¿alguien puede decirme que es, y si debe estar bloqueada?

Muchisimas gracias por la ayuda de antemano. :roll:

[AcX]

Es un ejecutable que crea el tojano [b]Trojan.Lasta[/b], uno entre tantos ficheros aqui te dejo el resto de ficheros que suele crear el trojano una vez alojado en tu sistema:



%System%\001.exe

%System%\chk.exe

%System%\chk20.exe

%System%\huanyuan.exe

%System%\[b]pj.exe[/b]

%System%\pojie.exe

%System%\SimCom.dll

%System%\winpass.exe

%System%\444.reg *

%System%\YZDll32.dll *

%System%\msvbvm60.dll *

%System%\Ws2help32.dll *

%System%\HMRes.dll *





Te recomiendo que descarges y ejecutes esta utilidad:

http://www.zonavirus.com/descargas/elistara.asp



Te creara un log en c:/ copianoslo y lo pegas aqui para verlo.

[marisolsol]

vaya no puedo acceder a la descarga del programilla que me aconsejas

[AcX]

no te deja???? :shock:

pues a mi si me deja....algo raro pasa.



mira vete [b]INICIO zonavirus[/b] lo tienes arriba a la izquierda, y luego te sale otra ventana y das a [b]Descargas[/b] y si te fijas en las dos listas que salen en [b]top descargas[/b] es el primero que sale con nombre [b]EliStarA[/b] pinchas en el y te lleva hasta su descripcion y sus firmas, bajas hasta abajo del todo y ya ves un cuadrado donde te indica descargar, haber si te sirve esto.



lo ejecutas y sigues los pasos que te indique antes.

durante la ejecucion del programa te dira que borres temporales...limpiar el fichero hosts...dices que si

[marisolsol]

pues va a ser que me quedo si elistar, cuando pincho en la ventana de descarha del programa (entre por donde entre)se me abre un segundo una pequeña ventanilla,que desaparece enseguida sin poder visualizar siquiera que dice y a continuación se abre esta pagina http://www.zonavirus.com/datos/descargas.asp?id=0&categoria=Raiz,pero no carga nada.

No se si sirve y ademas no se como funciona pero tengo el regseaker .

[AcX]

el Regseeker es para limpiar el registro, no sirver para lo mismo.

[marisolsol]

Este es el log del disco c:



Thu May 18 23:41:53 2006

EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL --> Eliminado FlashGet (TB)

C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL --> Eliminado FlashGet (BHO)



Thu May 18 23:45:28 2006

EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Favoritos%\Shopping"

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu May 18 23:57:53 2006

EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Sonic\Express Labeler\STAX.EXE --> Eliminado, StartPage-IN

C:\Archivos de programa\Webteh\BSplayerPro\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\XoftSpy\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\PATCH_PERS_5.0.383_384_TO_5.0.385.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\PATCH_PERS_5.0.388_390_TO_5.0.391.EXE --> AutoExtraible

C:\Documents and Settings\HP_Propietario\Escritorio\controladorpantallax300radeon\5-13_XP-2K_DD_CCC_WDM_ENU_29124.EXE --> AutoExtraible

C:\Documents and Settings\HP_Propietario\Mis documentos\eDonkey2000 Downloads\PACK ANTIVIRUS 2006.(Kaspersky,Mcfee,panda) ya crakeados.Español-APIÑONFIJO\Kaspersky Anti-Virus.v.5.0.372.Es+Key\KAV5.0.372_PERS.EXE --> AutoExtraible

C:\Documents and Settings\HP_Propietario.********\Escritorio\SABINA LLEVAR\Norton AntiVirus 2006\Norton AntiVirus 2006\NAVSETUP.EXE --> AutoExtraible

C:\Documents and Settings\HP_Propietario.********\Escritorio\seguridad\XOFTSPY415_97.EXE --> AutoExtraible



LOG del disco D:

Fri May 19 00:19:33 2006

EliStartPage v11.71 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

D:\dowload programas\prog.grabacion dvd,cd\SETUPDVDDECRYPTER_3.5.2.0.EXE --> AutoExtraible

D:\dowload programas\programas seguridad\Norton AntiVirus 2006\Norton AntiVirus 2006\NAVSETUP.EXE --> AutoExtraible

D:\dowload programas\programas tratamiento imagenes,fotos\FaceMorpher v1.5 fm15-oms\FACEMORPHERSETUP.EXE --> AutoExtraible

D:\dowload programas\reproductores multimedia,dvd\BSPlayer.Professional.v1.0.2.812.MultiLanguage.Retail.Incl.Keymaker-CORE\BSPLAYER_PRO102.812.EXE --> AutoExtraible

D:\dowload programas\utilidades web & Internet\Guarda fácilmente las animaciones Flash que veas en una web\SAVEFLASH.EXE --> AutoExtraible

D:\dowload programas\utilidades web & Internet\Muestra tu webcam con este completo servidor\WXP_2B6.EXE --> AutoExtraible

D:\Extra !! 5000 Web Templates (Php,Flash,Dhtml,Swish)\Templates\1000 Homepage Templates\Homepage Templates (521)\TEMPLATE32.HTML --> Eliminado, StartPage-DU (Pag.Ini)

D:\Extra !! 5000 Web Templates (Php,Flash,Dhtml,Swish)\Templates\Templates\DW4 templates\web tech\Tutorials\STYLES.HTM --> Eliminado, StartPage-DU (Pag.Ini)

[marisolsol]

Logfile of HijackThis v1.99.1

Scan saved at 0:50:33, on 19/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\hphmon06.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\keyhook.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\svchost.exe

c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\Archivos de programa\eDonkey2000\edonkey2000.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\HP_Propietario\Escritorio\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q404&bd=pavilion&pf=desktop

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Vista de HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Archivos de programa\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HPHUPD06] c:\Archivos de programa\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe

O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [hpppta] C:\Archivos de programa\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hpppta.exe /ICON

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: desktop(2).ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\comHost.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

[AcX]

Puedes pulsar "fixed cheked" en estas claves:

[color=red]

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

[/color]



Esta desconozco lo que es... :roll:

O4 - Global Startup: desktop(2).ini





yo no veo restos de ese virus pj.exe por lo menos no sale en el hijackthis en ejecución, o yo no lo veo...haber los altos mandos que dicen

[marisolsol]

pues ya le he dado a fixchecked a las entradas que me dices.

Hace poco no se porque problema o si fue un virus, se me duplicaron un monton de iconos por todas partes aparecian dobles con (2), despues de pasar antivirus y adawares, quite a mano todo lo que estaba duplicado y eso del destok(2),parece que tiene algo que ver.

Muchas gracias por vuestro tiempo

[AcX]

hola marisol



Asegurate pasandole estos antivirus online:

https://www.eset.es/analisis-online/

http://www.pandasoftware.es/productos/activescan



pasale los dos, y nos comentas el resultado para asegurarnos

[marisolsol]

eTrust Antivirus Web Scanner



3 virus detectados.

Anima.class-3ca0b3d-43220773.class Java/ByteVerify!exploit infected C:\Documents and Settings\HP_Propietario\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\file\

Anima.class-3fca856-62b77571.class Java/ByteVerify!exploit infected C:\Documents and Settings\HP_Propietario\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\file\

omfg.class-1102117c-1eb9d72b.class Java/Shinwow.BD infected C:\Documents and Settings\HP_Propietario\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\file\



Panda

adware/alfacleaner Registro de windows

spyware:cookie/fastclick (esta ya le he borrado)

spyware:cookie/fastclick (esta ya la he borrado)



El norton me acababa de avisar de la eliminacion de Trojan.Zlob en C:\WINDOWS\system\smss.exe y tambien en C:\RECYCLERS\S-1-5-21-1388750337-739446835-2817183219-500\Dc241.exe

-¿que hago con lo de java que me encuentra eTrust ?

-lo del panda me falta saber que hago con el alfacleaner

- lo del Norton es la segunda vez esta semana que me encuentra ese virus y que supuestamente lo borra.¿de donde viene? Por cierto tengo marcada la opcion de desactivar recuperación de windows, asi que no se eso del recycler de donde viene.

Saludos

[marisolsol]

A ver,

he borrado los archivos que me indicaba el e trust como infectados,he hecho una segunda exploracion y ahora me sale esto

MEMORY.DMP Win32/Vibyor!generic infected, no cure C:\WINDOWS\

pskavs.dll Win32/Thorin.11932 infected, no cure C:\WINDOWS\system32\ActiveScan\



AGGGGG,es que esto no termina nunca

[msc hotline sat]

No veo que te hayan pedido que nos enviaras muestras de los ficheros infectados, y esto es lo primero que tenia que hacer AcX, desde el pj.exe, y ahora esrtos, porque si no los detectamos es posible que vayan generando otros troyanos y no se acabe nunca.



Envianos estos ficheros a zonavirus@satinfo.es anexados a un mail en cuyo texto indiques como referencia REF



C:\WINDOWS\pskavs.dll



y el ultimo que no llegas a indicar el nombre tambien:



C:\WINDOWS\system32\ActiveScan\ ...



Tras recibirlos, los examinaremos y procederemos a implementar su control y eliminacion, si procede, en nuestras utulidades, de lo cual informarermos



Y gracias AcX, pero mejor enterate de como hacemos las cosas en este foro.



saludos



ms, 20-5-2006

[marisolsol]

Gracias a Acx y a su consejo de que pasara los 2 antivirus online, tengo los datos de esos 2 archivos infectados. Yo utilizo el norton y no me los ha reconocido.

Quizas al no ser muy entendida en estos menesteres me cueste mas trabajo exponer mi problema e incluso seguir vuestras instrucciones. Espero no dar la lata mas de lo necesario.

Los dos archivos son los siguientes ya que en el post anterior copie y pegue tal como salian en la web online de e trust pero el orden exacto es

C:\WINDOWS\ MEMORY.DMP Win32/Vibyor!generic infected, no cure (este 1º tiene 0,99Gb)

C:\WINDOWS\system32\ActiveScan\ pskavs.dll Win32/Thorin.11932 infected, no cure (2,24 Mb)

y no puedo enviarlos ya que he intentado hacerlo con hotmail y con otra cuenta privada (desactivando el norton) pero no me lo admite.

[msc hotline sat]

Pues es importante que lo hagas para qie podamos examinarlos.



Para ello, desactiva el antiVirus residente y empaqueta el segundo fichero en un ZIP con password "VIRUS" y asi podras enviarlo sin problema, porque al ir encriptados, nadie los interceptará



El primero de 1 Gb es un volcado de memoria que no hace falta que nos envies.



Pero del que no hablas es del PJ.EXE, que es la base de todo. Mira si tienes este o cualquiera de sus congeneres y nos los envias tambien

a la cuenta zonavirus@satinfo.es y con la referencia indicada y los examinaremos para poderlos controlar, como hacemos con todas las muestras



Con ello podremos seguir ayudandote



saludos



ms, 20-5-2006

[msc hotline sat]

El fichero que nos ha enviado ha resultado aparentar ser de Panda, aunque Vd lo tenga todo de Norton... lo cual es muy sospechoso.



Ademas, decía que lo detectaba como virus:



pskavs.dll Win32/Thorin.11932 infected, no cure C:\WINDOWS\system32\ActiveScan\



Algo raro hay, por ello lo hemos subido a VirusTotal y 4 antivirus lo han considerado virus:


[quote]
VirusTotal día 22.05.2006 a las 13:04:24



AntiVir 6.34.1.27 22.05.2006 Frisk #2

Avast 4.6.695.0 19.05.2006 Win32:CTX

ClamAV devel-20060426 22.05.2006 Sirius.Annihilator.272

Sophos 4.05.0 22.05.2006 W95/MrKlunky-A
[/quote]

Recuerda haber tenido alguna vez instalado Panda ???



En cualquier caso, elimine clave y fichero, ta que ahora usa Norton.



saludos



ms, 22-5-2006

[marisolsol]

El unico contacto con Panda ha sido el de pasarlo online eso hace 2 dias,por lo que puede ser eso, y referente a mi pregunta primera por la que empeze este hilo.

Sobre el programa que me aparece en el firewall de norton como bloqueado (pj.exe). ¿Debo entender, que aunque aparezca el firewall, puede que el antivirus lo borrase en su momento (ya que despued de seguir todas sus instrucciones, parece no haber rastro de virus) aunque permanezca nombrado en el firewall,(que por cierto,lo puedo dejar ahí, bloqueado el acceso por si acaso)?

Tambien puedo borrarlo y entonces sabre si el firewall lo vuelve a detectar,pero miedo me da tocar nada.

Si creen que puedo estar tranquila a este respecto podemos dar mi problema por cerrado.

Saludos y mil gracias

[msc hotline sat]

La pena es que el PJ.EXE no hemos podido examinarlo y no sabermos lo que es a ciencia cierta, pero puedes dejarlo bloqueado, si todo te funciona, pues no debe ser nada buen :lol:



Y considerando ya solucionado el problema, procedemos a cerrar el Tema



saludos



ms, 23-5-2006