Virus atacando... fantasma.avi.exe (SOLUCIONADO)

[jasoto]

Hola a todos, es la primera vez que escribo en este foro y espero que podais ayudarme.

Hace un par de horas se me abrio una ventana del messenger de uno de mis contactos ofreciendome que me bajara un archivo y tal....el caso es que como venia en una ventana de un contacto conocido, pues lo descargue, pero eso si...era un archivo llamado fantasma.zip...antes de descomprimirlo le pase el antivirus, tengo el Norton Internet Security (que vaya Security de los wuebsss...) el escaneo del archivo no detecto ninguna amenaza ni virus, entonces lo descomprimi en una carpeta con su nombre, contenia un solo archivo llamado....fantasma.avi.exe....y antes de ejecutarlo tambien le pase el antivirus, pero nada, no detecto nada....y claro, entre que tenia el icono del windows media player y vi de pasada que tenia extension avi.....NO VI QUE ERA UN EXE...y lo ejecute...la cague.

Ahora lo que ocurre es lo siguiente:

- no me deja eliminar el archivo

- no me deja acceder al administrador de tareas, al pulsar Ctrl+alt+supr...en la ventana aparece desactivada esa opcion.

- no me deja acceder al panel de control, cuando lo quiero hacer, automaticamente se cierra la ventana

- cada poco tiempo, mas o menos cada minuto o asi, suena un ruidito en la disquetera, como si estuviera intentando acceder a un disket



Tengo otro ordenador desde el que estoy escribiendo esto y estoy intentando buscar una cura, me he bajado algunos programas de deteccion de virus y de momento no me lo encuentran.



Os suena este virus?? como puedo mandarlo a paseo?? su verdadero nombre es ese??

Os agradeceria que me echaseis una mano, estoy al borde de un ataque de corazon, como se me kaske el disco duro o algo, me da algo...tengo mogollon de trabajos importantes dentro.



HELPME PLEASE!!!

[PATRA FETT]

A MI ME PASO LO MISMO!!! QUE HAGO????

[buitre]

pues a mis amigos de la secu ttambien ya se infectaron lo unico q podemos hacer es eesperar por nuestra salvacion "msc"



saludos

[msc hotline sat]

voy !

[msc hotline sat]

No hay conocimiento de dicho virus en Internet, Debe tratarse de una nueva variante



De entrada enviad el fichero sospechoso fantasma.avi.exe a zonavirus@satinfo.es anexado a un mail en cuyo textp indiqueis referencia "REF fantasma" y lo analizaremos e implementarenmos siu control y eliminacion en nuestras utilidades, de lo cual informaremos



Mientras renombrad el fichero de .exe a .vir m por si este fiera el usado como gusano, y reiniciad.



Posteadnos en log del HJT :





[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



lo analizaremos y veremos si ha creado mas fcheros y claves y os indicaremos como proceder



saludos



ms, 13-6-2006

[ahuita]

ATENCION PARA ELIMAR EL VIRUS DEL p**o FANTASMA, SOLO TENEIS K ENTRAR AL SISTEMA EN MODO A PRUEBA DE FALLOS, Y DARLE A RESTAURAR A UN ESTADO ANTERIOR Y REINICIAR AUTOMATICAMENTE SE ELIMINA.

AYER ME LO COLARON A MI.... NO OS PREOCUPEIS NO ES TANTO COMO PARECE PORK LO PRIMERO K PENSE ES A FORMATEAR, PERO YA OS DIGO, NO SE LO HAN CURRADO TANTO.

ANIMO :D

[msc hotline sat]

Aparte, enviarnos el fichero indicado para poder controlarlo facilmente con nuestras utilidades...



A ver si despiertan los de COSTA RICA, México o cualquiera que lo tenga..:


[quote="msc"]De entrada enviad el fichero sospechoso fantasma.avi.exe a zonavirus@satinfo.es anexado a un mail en cuyo textp indiqueis referencia "REF fantasma" y lo analizaremos e implementarenmos siu control y eliminacion en nuestras utilidades, de lo cual informaremos [/quote]

saludos



ms, 13-6-2006

[JiMaWArY]

Hola... no sé si lo habran borrado ya desde donde se supone q hay q descargarlo pero la dirección q se autoenvía con el msn es



http://galeon.com/videosdiverti2/fantasma .zip



Una de las infectadas me ha dicho q ha llamado a la tienda donde compró el pc y le han dicho q el virus se llama hacktools...

[msc hotline sat]

Sí, accediendo al enlace, indican:


[quote]
La página http://galeon.com/videosdiverti2/fantasma.zip no está en Galeon.[/quote]

Como supones, deben haberlo borrado, por eso se pide a quien lo haya descargado que nos lo envie.



gracias de todos modos, JiMaWArY



saludos



ms, 13-6-2006

[JiMaWArY]

Vale me acaban de mandar el log del hijackthis





Logfile of HijackThis v1.99.1

Scan saved at 15:40:36, on 13/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton Internet Security\ISSVC.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\Cursors\wam.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NSMdtr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Laura\CONFIG~1\Temp\Rar$EX00.375\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [axel] C:\WINDOWS\Cursors\wam.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by115fd.bay115.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ISSVC.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

[pilli]

Buenas, yo he intentado restaurar el ordenador a un estado anterior pero no me deja. Se os ocurre algo más que podamos hacer?

Gracias

[maura63]

Sospechosos



[color=red]C:\WINDOWS\Cursors\wam.exe [/color]-



C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe -



[color=red]O4 - HKCU\..\Run: [axel] C:\WINDOWS\Cursors\wam.exe - [/color]

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe -



mira de mandar una muestra.



Saludos

maura63

[msc hotline sat]

En este log solo hay atipica esta clave:



O4 - HKCU\..\Run: [axel] C:\WINDOWS\Cursors\wam.exe



Conoces este fichero WAM.EXE ???



saludos



ms, 13-6-2006

[JiMaWArY]

Mientras lo pregunto, os mando el log de otra persona infectada... a ver si ahí coincide el fixero ese wam.exe o hay otra cosa q veis q coincida y sea sospechosa





Logfile of HijackThis v1.99.1

Scan saved at 15:52:03, on 13/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

A:\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.madrid.org/cs/Satellite?c=Page&pagename=ComunidadMadrid%2FEstructura&sm=2&language=es&cid=1109266535323&segmento=1&definicion=Ofertas%20Empleo%20Publico&tipoServicio=CM_ConvocaPrestac_FA

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [Camera Detector] C:\ARCHIV~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [BDMCon] "C:\Archivos de programa\Softwin\BitDefender9\bdmcon.exe"

O4 - HKLM\..\Run: [BDOESRV] "C:\Archivos de programa\Softwin\BitDefender9\bdoesrv.exe"

O4 - HKLM\..\Run: [BDNewsAgent] "C:\Archivos de programa\Softwin\BitDefender9\bdnagent.exe"

O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Archivos de programa\Softwin\BitDefender9\bdswitch.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\ypager.exe" -quiet

O4 - HKCU\..\Run: [axel] C:\WINDOWS\Cursors\wam.exe

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\Wzqkpick.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Messenger\yhexbmeses.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Messenger\yhexbmeses.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1149986883375

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender9\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[maura63]

Vuelve a aparecer



[color=red]O4 - HKCU\..\Run: [axel] C:\WINDOWS\Cursors\wam.exe [/color]



Tengo pedida una muestra de un amigo.





Saludos

maura63

[msc hotline sat]

Bingo ! tambien está:



MIRA DE ENVIARNOS TAMBIEN ESTE FICHERO CON LA MISMA REFERENCIA DE FANTASMA



saludos



ms, 13-6-2006

[msc hotline sat]

Veo que tambien tienes amigos peligrosos, maura63 ...



Bueno quien antes reciba cualquiera de los dos ficheros, el FANTASMA o el WAM que lo envie, gracias



Podróa ser que eliminando dicha clave... pero mejot analizarlo antes, no sea peor el remedio que la enfermadad !!! :lol:



saludos



ms, 13-6-2006

[maura63]

[quote]Veo que tambien tienes amigos peligrosos, maura63 ... [/quote]



De todo hay en la viña del Señor :mrgreen:



Saludos

maura63

[JiMaWArY]

Gracias, toi a ver si me lo mandan... una vez q lo reciba cómo os lo mando a vosotros?

[PATRA FETT]

HOLA

CON EL TUNEUP UTILITIES VI LOS PROCESOS EN LINEA. ES EL C:\WINDOWS\Cursors\wam.exe - UNA VEZ Q LO DESACTIVE YA PUDE INGRESAR A ESTA PAGINA ( NO DEJABA INGRESAR EN LOS BUSCADORES SI ESCRIBIAS ALGO RELACIONADO CON VIRUS).. AHORA.. COMO LE HAGO PARA DESHACERME DE ESA COSA??



MUCHAS GRACIAS DE ANTEMANO



PD: QUE PASO CON LOS DE COSTA RICA???

[maura63]

Busca el wam.exe , copialo a diskette comprimelo en un zip y lo envias por e:mail a zonavirus@satinfo.es



Ponle como referencia REF WAM:EXE.



Saludos

maura63

[*Principito Azul*]

hola, soy nuevo en el foro y la verdad tenía ganas de registrarme ya :), el problema que tengo es el siguiente: poseo 2 cuentas de usuario, y la que utilizo corrientemente ha sido atacada por nuestro amigo fantasma.avi.exe... bien, pues lo que hize fue iniciar sesión con la otra y buscar una solución, intenté analizar el pc con ActiveScan de pandasoftware, pero no resultó, asique decidí buscar el archivo por mi cuenta, cual fue mi sorpresa al encontrarlo... lo eliminé :S pero la otra cuenta sigue funcionando mal, no me deja abrir el administrador de tareas, ni el panel de control, me cierra el Mcafee cuando intento analizar(no creo que sirviese de algo...) y bueno, me fastidia mi herramienta más utilizada, el msn...estoy de examenes y necesito apuntes y trabajos :(:(

Bueno, según he visto por aquí, dicen de iniciar en modo seguro y restaurar el sistema, funciona?

y otra cosa, ¿Qué es y para que sirve el Hijackthis? veo que necesitais un blog o algo del programa ese, si sois tan amables de explicarme qué es y cómo utilizarlo, os enviaré lo que haga falta, gracias por vuestra ayuda y atención ^^

[maura63]

[quote]Busca el wam.exe , copialo a diskette comprimelo en un zip y lo envias por e:mail a zonavirus@satinfo.es



Ponle como referencia REF WAM.EXE. [/quote]

Mira si esta ese ejecutable en tu pc e intenta lo anterior.



Saludos

maura63

[JiMaWArY]

[quote="maura63"]Busca el wam.exe , copialo a diskette comprimelo en un zip y lo envias por e:mail a zonavirus@satinfo.es



Ponle como referencia REF WAM:EXE.



Saludos

maura63[/quote]

gracias, esto me pasa por leer los posts a toa lexe ya sé q lo pusísteis antes xD... ya os lo manda la "intercepta"

[msc hotline sat]

El HJT es una utilidad que crea un log con el que ver los priocesos residentes y las principales claves de registro que los lanzan, bien en el inicio, bien cuando se abre el navegador, etc



Con ello vemos lo que hay sospechoso y podemos intemtar ofrecer soluciones, pedir muestras o eliminar claves.



Si tioenes uno o los dos ficheros indicados, envianos muestra como se unbdica anteriormente y podremos desarrollar la utilidad de eliminacion



saludos



ms, 13-6-2006

[*Principito Azul*]

Ya está la muestra enviada, muchas gracias y suerte :)

[maura63]

Esperemos que no se la trague el mar :mrgreen:



Saludos

maura63

[msc hotline sat]

Recibidas muestras.



Ver:



https://foros.zonavirus.com/viewtopic.php?p=59579#59579



resulta ser una variante del JESSE que controlaremos con la nueva version del ElistarA que estamos haciendo y subiremos esta tarde



Ya se controla con el EXTRA.DAT de McAfee qye se ofrece en el lonk arriba indicado, como DEL-506



saludos



ms, 13-6-2006

[JiMaWArY]

MUCHISIMAS GRACIAS!!!!!!!!! :D



Supongo q os lo dirán a menudo... pero os debo unas birritas o lo q queráis ehhhh :mrgreen:



Lo dixo q les diré a estos infectadillos q hagan lo del mcafee (uno de ellos tiene ese antivirus) y si no lo consigue así, ya me espero a q subáis el ElistarA



Sois unos craks!!! Gracias otra vez

[msc hotline sat]

Provisionalmente utilizad el actual ElistarA, que por exploracion tambien lo detecta:





ElistarA.EXE

http://www.zonavirus.com/descargas/elistara.asp





EL que estamos haciendo lo detectarña ya directamente, por accion directa, pero hemos visto que coinciden las cadenas de deteccion.



saludos



ms, 13-6-2006