Virus atacando... fantasma.avi.exe (SOLUCIONADO)

ahuita · Mensaje por **ahuita** » 13 Jun 2006, 18:40

RESTARUAR AUN ESTADO ANTERIOR PERO DESDE EL MODO SIMBOLO DEL SISTEMA O MODO A PRUEBA DE FALLOS.
APAGAR ORDENADOR
ENCENDER PULSAR F8
MODO SEGURO
RESTAURAR
REINICIAR

________________

GRACIAS PERO LOS FICHEROS DEL ROOT SOBREESCRITOS CON EL GUSANO, QUE NO ESTABAN EN USO, SEGUIRIAN ESTANDO INFECTADOS Y A PUNTO DE EJECUTAR Y REINFECTAR EL EQUIPO, ASI QUE....
PARA ALGO ESTAN LAS UTILIDADES QUE DISPONEMOS EN ESTE FORO. ms.
______________________

Mensaje por **msc hotline sat** » 13 Jun 2006, 18:44

Si bien con el ElistarA anterior ya se controlaba por exploracion, con el nuevo QUE YA ESTA DISPONIBLE EN ESTA WEB, se detecta y elimina de entrada, se puede descargar para probar desde...

ElistarA
http://www.zonavirus.com/descargas/elistara.asp

comentad el resultado, gracias

ms, 13-6-2006

*Principito Azul* · Mensaje por ***Principito Azul*** » 13 Jun 2006, 19:22

Bueno, supongo que os lo habrán dicho ya un par de veces, pero muchas gracias :) os lo habeis currao :) ya van el admin de tareas y el panel de control, el proceso se ha esfumao...^^ G R A C I A S :)

Mensaje por **msc hotline sat** » 13 Jun 2006, 19:33

Pues lo celebramos, si bien aun no cerramos este Tema por si hay mas consultas de otros usuarios, dada la novedad...

Gracias por tus comentarios

saludos

ms, 13-6-2006

pop · Mensaje por **pop** » 13 Jun 2006, 20:50

Hola. Yo también he tenido el mismo problema.

Esto es el resultado del hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 20:38:50, on 13/06/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Código: Seleccionar todo

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\KODAKCCS.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.03.0000.1005\ES\MSNAPPAU.EXE
C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE
C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\ARCHIVOS DE PROGRAMA\MALU SALVAPANTALLAS\PROTECTOR DE PANTALLA\TASKTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\ARCHIVOS DE PROGRAMA\SCANNERU\KYESCAN.EXE
C:\ARCHIVOS DE PROGRAMA\KODAK\KODAK EASYSHARE SOFTWARE\BIN\EASYSHARE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\RAQUEL\DOCUMENTOS\NUEVA CARPETA (2)\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F1 - win.ini: run=C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.bat;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.exe;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.com;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.scr;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.vbs;C:\WINDOWS\hpfsched.bat;C:\WINDOWS\hpfsched.exe;C:\WINDOWS\hpfsched.com;C:\WINDOWS\hpfsched.scr;C:\WINDOWS\hpfsched.vbs;C:\WINDOWS\COMMAND\hpfsched.bat;C:\WINDOWS\COMMAND\hpfsched.exe;C:\WINDOWS\COMMAND\hpfsched.com;C:\WINDOWS\COMMAND\hpfsched.scr;C:\WINDOWS\COMMAND\hpfsched.vbs;C:\ARCHIV~1\PROTEC~1\hpfsched.bat;C:\ARCHIV~1\PROTEC~1\hpfsched.exe;C:\ARCHIV~1\PROTEC~1\hpfsched.com;C:\ARCHIV~1\PROTEC~1\hpfsched.scr;C:\ARCHIV~1\PROTEC~1\hpfsched.vbs;C:\WINDOWS\SYSTEM\hpfsched.bat;C:\WINDOWS\SYSTEM\hpfsched.exe;C:\WINDOWS\SYSTEM\hpfsched.com;C:\WINDOWS\SYSTEM\hpfsched.scr;C:\WINDOWS\SYSTEM\hpfsched.vbs
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES\MSNTB.DLL
O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGRAB.DLL (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet7_22.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES\MSNTB.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\ARCHIVOS DE PROGRAMA\CANON\EASY-WEBPRINT\TOOLBAND.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s
O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [WhenUSave] C:\ARCHIV~1\SAVE\Save.exe
O4 - HKLM\..\Run: [komo-molaes] C:\komo-molaes\KOMO-MOLAES.EXE -t
O4 - HKLM\..\Run: [fotosgratises] C:\fotosgratises\FOTOSGRATISES.EXE -t
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Archivos de programa\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [PromulGate] "C:\Archivos de programa\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [!!!AAAA-aaaagiochimkt] C:\WINDOWS\APPLIC~1\GIOCHI~1.EXE /ns
O4 - HKLM\..\Run: [USBMonit.exe] "C:\WINDOWS\SYSTEM\USBMonit.exe"
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\ARCHIVOS DE PROGRAMA\SPRINT & FINEREADER 5.0 OFFICE TRY&BUY\SPRINT\CAGENT.EXE
O4 - HKLM\..\Run: [KodakCCS] C:\WINDOWS\System32\Drivers\KodakCCS.exe
O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN Apps\Updater\01.03.0000.1005\es\msnappau.exe"
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\ARCHIVOS DE PROGRAMA\EBATES_MOEMONEYMAKER\EbatesMoeMoneyMaker0.exe"
O4 - HKLM\..\Run: [avast! Web Scanner] C:\ARCHIV~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Singles2TripleTrouble.exe] C:\WINDOWS\ESCRIT~1\SINGLE~1.EXE /r
O4 - HKLM\..\Run: [ashMaiSv] C:\ARCHIV~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [PavProc] C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\PavPrS9x.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [PAV.EXE] C:\ARCHIV~1\PERSYS~1\PERAV\PAV.EXE
O4 - HKLM\..\RunServices: [avast!] C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Malu Salvapantallas Protector de Pantalla] "C:\Archivos de programa\Malu Salvapantallas\Protector de Pantalla\TaskTray.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Archivos de programa\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - Startup: KYESCAN.lnk = C:\Archivos de programa\ScannerU\Kyescan.exe
O4 - Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: Download using FlashGet - C:\ARCHIVOS DE PROGRAMA\FLASHGET\jc_link.htm
O8 - Extra context menu item: Download All by FlashGet - C:\ARCHIVOS DE PROGRAMA\FLASHGET\jc_all.htm
O9 - Extra button: Mejor Busqueda - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - http://www.mejorbusqueda.com (file missing)
O9 - Extra 'Tools' menuitem: Mejor Busqueda - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - http://www.mejorbusqueda.com (file missing)
O9 - Extra button: Chat - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\exio-enamore2\index.html (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIVOS DE PROGRAMA\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIVOS DE PROGRAMA\FLASHGET\FLASHGET.EXE
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\ARCHIVOS DE PROGRAMA\EBATES_MOEMONEYMAKER\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .mpeg: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin3.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {B3DECCA8-495F-11D2-B578-006097C768D6} (Smallworld Button Control) - http://www.logro-o.org/callejero/Cab/swcontrols.cab
O16 - DPF: {042EEA26-2402-4E5A-B5BB-0FB445A5526E} (VacPro.win98_P) - http://www9.advnt01.com/dialer/win98_P.CAB
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.bitstream.com/wfplayer/tdserver.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4779/mcfscan.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.freedom.net/viruscenter/onlineviruscheck/cabs/cssweb.cab
O18 - Filter: text/html - {2BF39C62-97E9-11D9-8FA5-00502D9B1425} - C:\WINDOWS\SYSTEM\PNCG.DLL
O18 - Filter: text/plain - {2BF39C62-97E9-11D9-8FA5-00502D9B1425} - C:\WINDOWS\SYSTEM\PNCG.DLL

Si me podéis ayudar os lo agradecería.

Grcias. Saludos.

Mensaje por **maura63** » 13 Jun 2006, 21:03

Pues tienes toda una coleccion, antes de nada sigue los pasos del tutorial

viewtopic.php?f=5&t=5370

Tienes el antivirus Avast actualizado?????

Te recomiendo:

Ad_aware SE personal
Spybot
Elistara
Elitrip
y un antivirus actualizado al dia.

Saludos
maura63

Mensaje por **maura63** » 13 Jun 2006, 21:06

Y para las entradas 010 que muestra tu log

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

Solucion a los problemas de conexion a Internet (LSP)
Hay Anti-spyware que rompe, borra o modifica el Winsock por Layered Service Provider (LSP), lo que origina que no se pueda conectar a Internet, os presentamos una utilidad que suele solventar este problema, muy aconsejable leer el manual.

· Descargar LSP-FIX
· Manual LSP-Fix (Español)

Y si puedes, cambia el sistema operativo a XP ó W2000. El W98 y ME estan obsoletos.

Saludos
maura63

Mensaje por **msc hotline sat** » 14 Jun 2006, 10:46

Realmente es todo un poema !!!

Tras hacer toda la limpieza con las utilidades indicadas por Maura63, hago especial hincapié en limpiar el WININIT.INI y probar el ELISTARA:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Y tras todo ello comprobar que no hayan quedado las siguientes claves, y si persisten obrar correctivamente:

Desinstala este protector. (Instala troyanos):

C:\ARCHIVOS DE PROGRAMA\MALU SALVAPANTALLAS\PROTECTOR DE PANTALLA\TASKTRAY.EXE

Esta es un StartPage, eliminala o mejor lanza el ELISTARA:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html

Tienes el WIN.INI extremadamente cargado de entradas repetidas a diferentes carpetas, y puede que en alguna no haya los ficheros en cuestion y muestre el ERROR que indicabas en tu post. REVISALO !!!:

F1 - win.ini: run=C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.bat;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpf sched.exe;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.com;C:\ARCHIV~1\PANDAS~1\PANDAT ~1\hpfsched.scr;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.vbs;C:\WINDOWS\hpfsched.b at;C:\WINDOWS\hpfsched.exe;C:\WINDOWS\hpfsched.com;C:\WINDOWS\hpfsched.scr;C:\WI NDOWS\hpfsched.vbs;C:\WINDOWS\COMMAND\hpfsched.bat;C:\WINDOWS\COMMAND\hpfsched.e xe;C:\WINDOWS\COMMAND\hpfsched.com;C:\WINDOWS\COMMAND\hpfsched.scr;C:\WINDOWS\CO MMAND\hpfsched.vbs;C:\ARCHIV~1\PROTEC~1\hpfsched.bat;C:\ARCHIV~1\PROTEC~1\hpfsch ed.exe;C:\ARCHIV~1\PROTEC~1\hpfsched.com;C:\ARCHIV~1\PROTEC~1\hpfsched.scr;C:\AR CHIV~1\PROTEC~1\hpfsched.vbs;C:\WINDOWS\SYSTEM\hpfsched.bat;C:\WINDOWS\SYSTEM\hp fsched.exe;C:\WINDOWS\SYSTEM\hpfsched.com;C:\WINDOWS\SYSTEM\hpfsched.scr;C:\WIND OWS\SYSTEM\hpfsched.vbs

Y estas claves deben haber sido eliminadas por ser malware (y si no, eliminalas con el HJT):

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGRAB.DLL (file missing)
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet7_22.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s
O4 - HKLM\..\Run: [WhenUSave] C:\ARCHIV~1\SAVE\Save.exe
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Archivos de programa\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [PromulGate] "C:\Archivos de programa\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\ARCHIVOS DE PROGRAMA\EBATES_MOEMONEYMAKER\EbatesMoeMoneyMaker0.exe"
O9 - Extra button: Mejor Busqueda - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - http://www.mejorbusqueda.com (file missing)
O9 - Extra 'Tools' menuitem: Mejor Busqueda - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - http://www.mejorbusqueda.com (file missing)
O9 - Extra button: Chat - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\exio-enamore2\index.html (file missing)
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\ARCHIVOS DE PROGRAMA\EBATES_MOEMONEYMAKER\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O16 - DPF: {042EEA26-2402-4E5A-B5BB-0FB445A5526E} (VacPro.win98_P) - http://www9.advnt01.com/dialer/win98_P.CAB
O4 - HKCU\..\Run: [Malu Salvapantallas Protector de Pantalla] "C:\Archivos de programa\Malu Salvapantallas\Protector de Pantalla\TaskTray.exe"

Y estas si no las conoces, tambien:
O4 - HKLM\..\Run: [!!!AAAA-aaaagiochimkt] C:\WINDOWS\APPLIC~1\GIOCHI~1.EXE /ns
O4 - HKLM\..\Run: [Singles2TripleTrouble.exe] C:\WINDOWS\ESCRIT~1\SINGLE~1.EXE /r

Y estas 010 deben haber desaparecido con lo del LPSFIX indicado por MAURA63:
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

Tras todo ello reinicia y comentanos el resultado, gracias

saludos

ms, 14-6-2006

pop · Mensaje por **pop** » 14 Jun 2006, 13:46

Hola!, Lo primero daros las gracias a los dos maura63 y msc hotline sat.

msc hotline sat, sobre lo que me comentas de WIN.INI:

msc hotline sat escribió:Tienes el WIN.INI extremadamente cargado de entradas repetidas a diferentes carpetas, y puede que en alguna no haya los ficheros en cuestion y muestre el ERROR que indicabas en tu post. REVISALO !!!:

F1 - win.ini: run=C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.bat;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpf sched.exe;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.com;C:\ARCHIV~1\PANDAS~1\PANDAT ~1\hpfsched.scr;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.vbs;C:\WINDOWS\hpfsched.b at;C:\WINDOWS\hpfsched.exe;C:\WINDOWS\hpfsched.com;C:\WINDOWS\hpfsched.scr;C:\WI NDOWS\hpfsched.vbs;C:\WINDOWS\COMMAND\hpfsched.bat;C:\WINDOWS\COMMAND\hpfsched.e xe;C:\WINDOWS\COMMAND\hpfsched.com;C:\WINDOWS\COMMAND\hpfsched.scr;C:\WINDOWS\CO MMAND\hpfsched.vbs;C:\ARCHIV~1\PROTEC~1\hpfsched.bat;C:\ARCHIV~1\PROTEC~1\hpfsch ed.exe;C:\ARCHIV~1\PROTEC~1\hpfsched.com;C:\ARCHIV~1\PROTEC~1\hpfsched.scr;C:\AR CHIV~1\PROTEC~1\hpfsched.vbs;C:\WINDOWS\SYSTEM\hpfsched.bat;C:\WINDOWS\SYSTEM\hp fsched.exe;C:\WINDOWS\SYSTEM\hpfsched.com;C:\WINDOWS\SYSTEM\hpfsched.scr;C:\WIND OWS\SYSTEM\hpfsched.vbs

La verdad es que no me entero... jajaja. ¿A qúe te refieres con que lo revise? Yo me voy a WIN.INI, pero... ¿qué hago luego? añado algo? modifico algo? elimino algo? No me llegan las neuronas pa tanto... Gracias de nuevo!

Mensaje por **msc hotline sat** » 14 Jun 2006, 15:28

Claro, es que aun usas windows 98!

Me ha extrañado porque no es normal actualmente y al final he visto que vas a pedales!

!

Evidentenmente el mensaje de error es relativo a dicho fichero que llama las siguientes lineas, las cuales separo a ver si se ve la que causa el error:

INICIAL:
run=C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.bat;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpf sched.exe;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.com;C:\ARCHIV~1\PANDAS~1\PANDAT ~1\hpfsched.scr;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.vbs;C:\WINDOWS\hpfsched.b at;C:\WINDOWS\hpfsched.exe;C:\WINDOWS\hpfsched.com;C:\WINDOWS\hpfsched.scr;C:\WI NDOWS\hpfsched.vbs;C:\WINDOWS\COMMAND\hpfsched.bat;C:\WINDOWS\COMMAND\hpfsched.e xe;C:\WINDOWS\COMMAND\hpfsched.com;C:\WINDOWS\COMMAND\hpfsched.scr;C:\WINDOWS\CO MMAND\hpfsched.vbs;C:\ARCHIV~1\PROTEC~1\hpfsched.bat;C:\ARCHIV~1\PROTEC~1\hpfsch ed.exe;C:\ARCHIV~1\PROTEC~1\hpfsched.com;C:\ARCHIV~1\PROTEC~1\hpfsched.scr;C:\AR CHIV~1\PROTEC~1\hpfsched.vbs;C:\WINDOWS\SYSTEM\hpfsched.bat;C:\WINDOWS\SYSTEM\hp fsched.exe;C:\WINDOWS\SYSTEM\hpfsched.com;C:\WINDOWS\SYSTEM\hpfsched.scr;C:\WIND OWS\SYSTEM\hpfsched.vbs

_______
SEPARADO POR LINEAS:

run=C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.bat;
C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpf sched.exe;
C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.com;
C:\ARCHIV~1\PANDAS~1\PANDAT ~1\hpfsched.scr;
C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.vbs;
C:\WINDOWS\hpfsched.b at;
C:\WINDOWS\hpfsched.exe;
C:\WINDOWS\hpfsched.com;
C:\WINDOWS\hpfsched.scr;
C:\WI NDOWS\hpfsched.vbs;
C:\WINDOWS\COMMAND\hpfsched.bat;
C:\WINDOWS\COMMAND\hpfsched.e xe;
C:\WINDOWS\COMMAND\hpfsched.com;
C:\WINDOWS\COMMAND\hpfsched.scr;
C:\WINDOWS\CO MMAND\hpfsched.vbs;
C:\ARCHIV~1\PROTEC~1\hpfsched.bat;
C:\ARCHIV~1\PROTEC~1\hpfsch ed.exe;
C:\ARCHIV~1\PROTEC~1\hpfsched.com;
C:\ARCHIV~1\PROTEC~1\hpfsched.scr;
C:\AR CHIV~1\PROTEC~1\hpfsched.vbs;
C:\WINDOWS\SYSTEM\hpfsched.bat;
C:\WINDOWS\SYSTEM\hp fsched.exe;
C:\WINDOWS\SYSTEM\hpfsched.com;
C:\WINDOWS\SYSTEM\hpfsched.scr;
C:\WIND OWS\SYSTEM\hpfsched.vbs

ANALISIS:

run=C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.bat;

Pues si que ha costado poco ! fijate que en la siguiente tienes separado hpf de sched.exe, y el error es logico, ya que debe ir junto. Edita este fichero, elimina el espacio para que quede una sola palabra y salvalo de nuevo.

C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpf sched.exe;
C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.com;
C:\ARCHIV~1\PANDAS~1\PANDAT ~1\hpfsched.scr;
C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.vbs;
y en la linea siguiente unir b y at
C:\WINDOWS\hpfsched.b at;
C:\WINDOWS\hpfsched.exe;
C:\WINDOWS\hpfsched.com;
C:\WINDOWS\hpfsched.scr;
Tambien en la siguiente linea pasa lo mismo, esta separado WI de NDOWS y asi no está bien, une las dos partes de la palabra
C:\WINDOWS\hpfsched.vbs;
C:\WINDOWS\COMMAND\hpfsched.bat;

Mas de lo mismo, en la linea siguiente, la extension .exe está separada por un espacio, une las dos partes ! [/red]
C:\WINDOWS\COMMAND\hpfsched.e xe;
C:\WINDOWS\COMMAND\hpfsched.com;
En la siguiente, mas de lo mismo con CO y MMAND
C:\WINDOWS\COMMAND\hpfsched.scr;
Otra que tal entre CO y MMAND
C:\WINDOWS\CO MMAND\hpfsched.vbs;
y en la siguiente sobra un espacio despues de PROTEC~1
C:\ARCHIV~1\PROTEC~1\hpfsched.bat;
y en la siguiente sobra despues de hpfsch
C:\ARCHIV~1\PROTEC~1\hpfsch ed.exe;
y en la siguientes despues de PROTEC~1
C:\ARCHIV~1\PROTEC~1\hpfsched.com;
C:\ARCHIV~1\PROTEC~1\hpfsched.scr;
]En la proxima despues de AR y en la misma linea despues de PROTEC~1
C:\AR CHIV~1\PROTEC~1\hpfsched.vbs;
C:\WINDOWS\SYSTEM\hpfsched.bat;
en la proxima despues de hp
C:\WINDOWS\SYSTEM\hp fsched.exe;
C:\WINDOWS\SYSTEM\hpfsched.com;
C:\WINDOWS\SYSTEM\hpfsched.scr;
en la siguiende elimina el espacio entre WIND y OWS
C:\WIND OWS\SYSTEM\hpfsched.vbs

y tras ello guarda el fichero con los cambios indicados y listos

Desde luego eso no podía funcionar, pero dinos si eso no te pasaba siempre desde que instalastes PANDA ??? porque los virus no hacen esto !!!

Tras ello reinicia y comprueba que ya no salga el Error, y ve pensando en cambiar el sistema !!!

saludos

ms, 14-6-2006

HeK · Mensaje por **HeK** » 14 Jun 2006, 15:50

Hola!

Resulta que hace 2 días un contacto de mi msn m envió el ya comentado archivo fantasma.zip

Y aunque fuera un contacto conocido y fiable, pues no m dio buena espina y no lo acepté...

Pero resulta que hoy sin más han dejado de irme varias funciones de Internet, entre ellas el MSN, el correo y varias páginas que no me cargan...

Qué puede ser? Xq sino abrí el enlace no puede ser el virus no?

Ademas el Panel de Control y demás cosas que habéis comentado que fallan por el virus a mí sí que me van...

Pensaba que sería un fallo del MSN (de las muchas veces que falla) pero a casi todo el mundo le va...

Y además lo de que no me cargue muchas páginas es extraño tb...

Y problema de mi conexión no es...

Help pleaseeeeeee!

HeK · Mensaje por **HeK** » 14 Jun 2006, 15:58

He hecho un log de los que indicáis porque creo que tengo algún fallo más a parte del que os he comentado...

Si teneis un momentillo para echarle un vistazo os lo agradecería muchísimo!

Logfile of HijackThis v1.99.1
Scan saved at 15:55:01, on 14/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\BELKIN USB Wireless Monitor\WLService.exe
C:\Archivos de programa\BELKIN USB Wireless Monitor\WLanCfgG.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
C:\ARCHIV~1\FDD_FM~1\CZFMDSER.EXE
C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe
C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
C:\Archivos de programa\TOSHIBA\PadTouch\PadExe.exe
C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Archivos de programa\BELKIN USB Wireless Monitor\InfoMyCa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Archivos de programa\Windows Media Player\wmplayer.exe
C:\Archivos de programa\Symantec\LiveUpdate\NDETECT.EXE
C:\Archivos de programa\Windows Media Player\wmplayer.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Archivos de programa\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Archivos de programa\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [THotkey] C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [SmoothView] C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Archivos de programa\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CZFMDXPK] C:\ARCHIV~1\FDD_FM~1\CZFMDXPK.exe
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\ARCHIV~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [Getca] C:\Archivos de programa\BELKIN USB Wireless Monitor\InfoMyCa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk930YYES
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Archivos de programa\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Archivos de programa\Hello\PicasaCapture.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139840224968
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Belkin 54Mbps Wireless USB Network Service (Belkin 54Mbps Wireless USB) - Unknown owner - C:\Archivos de programa\BELKIN USB Wireless Monitor\WLService.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\comHost.exe
O23 - Service: CZFMDSER.EXE - Unknown owner - C:\ARCHIV~1\FDD_FM~1\CZFMDSER.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

xluismax · Mensaje por **xluismax** » 14 Jun 2006, 16:01

Ola amigos! Me infecté el lunes por este virus, y hoy pedí a un amigo a traves de email que accediese al foro ya que desde mi equipo infectado no me dejaba. Alguien ha propuesto la solucion de restaurar el equipo, yo lo he hecho y me a dado resultado. Tengo el Xp, reinicie el ordenador y al terminar de cargar la Bios pulse F8 para iniciar el sistema en Modo Seguro o Prueba de fallos, despues fui a Inicio, Buscar, y puse, restaurar sistema, luego seleccionas un punto donde el equipo funcionase bien, en mi caso puse el domingo (ya que me infecte el lunes), y luego a esperar 4 minutillos y listo. Por ahora nada fuera de lo normal...

Un saludo a todos

Mensaje por **msc hotline sat** » 14 Jun 2006, 16:14

mENSAJE PARA XLUISMAX

lO QUE HICISTE NO ES SUFICIENTE, NO ELIMINAS FICHEROS INFECTADOS DEL ROOT QUE NO ESTABAN EN USO.

LANZA EL ElistarA 1.2 COMO SE INDICA EN POST ANTERIORES.

Sino, al ejecutar ficheros infectados en cualquier momento voilverias a tener el virus. ms.

______________

Mensake para HeK

Al no haber ejecutado el fichero, no debías jaber interbenido en este post, y menos postear log que enmaraña este Tema, sino abrir tema nuevo, pero ya que lo hemos analizado por si hubiera tenido algo que ver, elimina estas claves:

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk930YYES
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBIniti alSetup1.0.0.15.cab

pero si tienes algo que decir al respecto, hazlo en un nuievo Tema, este no es tu caso

saludos

ms, 14-6-2006

pop · Mensaje por **pop** » 14 Jun 2006, 16:41

msc hotline sat, respecto a lo que me preguntas que desde cuando me sucede... yo lo noté después de todo el lio del virus y por eso pensé que era cosa del virus, pero quizá vino porque como consecuencia del virus quise analizar con el Panda, y quizá tras instalar vinieron los errores que yo achacaba al virus.

Por otro lado te comento, que mi única neurona sigue sin enterarse de nada. Entiendo lo que me explicas con respecto a lo de WIN.INI, el problema es que yo por más que miro no veo los supuestos espacios, a mi me aparece normal. Veo los espacios cuando tu me los pones, pero cuando yo lo miro en el ordenador los espacios no aparecen

, no me entero! S.O.S.!

Mensaje por **msc hotline sat** » 14 Jun 2006, 16:49

Selecciona el ultimo QUOTE que enviastes, es lo que he hecho yo !!!

_________

--------------------------------------------------------------------------------

Hola!, Lo primero daros las gracias a los dos maura63 y msc hotline sat.

msc hotline sat, sobre lo que me comentas de WIN.INI:

msc hotline sat escribió:

Tienes el WIN.INI extremadamente cargado de entradas repetidas a diferentes carpetas, y puede que en alguna no haya los ficheros en cuestion y muestre el ERROR que indicabas en tu post. REVISALO !!!:

F1 - win.ini: run=C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.bat;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpf sched.exe;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.com;C:\ARCHIV~1\PANDAS~1\PANDAT ~1\hpfsched.scr;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.vbs;C:\WINDOWS\hpfsched.b at;C:\WINDOWS\hpfsched.exe;C:\WINDOWS\hpfsched.com;C:\WINDOWS\hpfsched.scr;C:\WI NDOWS\hpfsched.vbs;C:\WINDOWS\COMMAND\hpfsched.bat;C:\WINDOWS\COMMAND\hpfsched.e xe;C:\WINDOWS\COMMAND\hpfsched.com;C:\WINDOWS\COMMAND\hpfsched.scr;C:\WINDOWS\CO MMAND\hpfsched.vbs;C:\ARCHIV~1\PROTEC~1\hpfsched.bat;C:\ARCHIV~1\PROTEC~1\hpfsch ed.exe;C:\ARCHIV~1\PROTEC~1\hpfsched.com;C:\ARCHIV~1\PROTEC~1\hpfsched.scr;C:\AR CHIV~1\PROTEC~1\hpfsched.vbs;C:\WINDOWS\SYSTEM\hpfsched.bat;C:\WINDOWS\SYSTEM\hp fsched.exe;C:\WINDOWS\SYSTEM\hpfsched.com;C:\WINDOWS\SYSTEM\hpfsched.scr;C:\WIND OWS\SYSTEM\hpfsched.vbs

La verdad es que no me entero... jajaja. ¿A qúe te refires con que lo revise? Yo me voy a WIN.INI, pero... ¿qué hago luego? añado algo? modifico algo? elimino algo? No me llegan las neuronas pa tanto... Gracias de nuevo!

_________

y como ya de entrada el primer error coincide con el ERROR que indicabas, que no encontraba el fichero hpf, he seguido con el resto...

Lo ves ahora ?

saludos

ms, 14-6-2006

pop · Mensaje por **pop** » 14 Jun 2006, 16:57

Pues no creas... sigo sin enterarme! Te comento, esto es lo que yo veo en mi ordenador:

F1 - win.ini: run=C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.bat;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.exe;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.com;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.scr;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.vbs;C:\WINDOWS\hpfsched.bat;C:\WINDOWS\hpfsched.exe;C:\WINDOWS\hpfsched.com;C:\WINDOWS\hpfsched.scr;C:\WINDOWS\hpfsched.vbs;C:\WINDOWS\COMMAND\hpfsched.bat;C:\WINDOWS\COMMAND\hpfsched.exe;C:\WINDOWS\COMMAND\hpfsched.com;C:\WINDOWS\COMMAND\hpfsched.scr;C:\WINDOWS\COMMAND\hpfsched.vbs;C:\ARCHIV~1\PROTEC~1\hpfsched.bat;C:\ARCHIV~1\PROTEC~1\hpfsched.exe;C:\ARCHIV~1\PROTEC~1\hpfsched.com;C:\ARCHIV~1\PROTEC~1\hpfsched.scr;C:\ARCHIV~1\PROTEC~1\hpfsched.vbs;C:\WINDOWS\SYSTEM\hpfsched.bat;C:\WINDOWS\SYSTEM\hpfsched.exe;C:\WINDOWS\SYSTEM\hpfsched.com;C:\WINDOWS\SYSTEM\hpfsched.scr;C:\WINDOWS\SYSTEM\hpfsched.vbs

Y esto es lo que tú dices que tengo:

F1 - win.ini: run=C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.bat;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpf sched.exe;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.com;C:\ARCHIV~1\PANDAS~1\PANDAT ~1\hpfsched.scr;C:\ARCHIV~1\PANDAS~1\PANDAT~1\hpfsched.vbs;C:\WINDOWS\hpfsched.b at;C:\WINDOWS\hpfsched.exe;C:\WINDOWS\hpfsched.com;C:\WINDOWS\hpfsched.scr;C:\WI NDOWS\hpfsched.vbs;C:\WINDOWS\COMMAND\hpfsched.bat;C:\WINDOWS\COMMAND\hpfsched.e xe;C:\WINDOWS\COMMAND\hpfsched.com;C:\WINDOWS\COMMAND\hpfsched.scr;C:\WINDOWS\CO MMAND\hpfsched.vbs;C:\ARCHIV~1\PROTEC~1\hpfsched.bat;C:\ARCHIV~1\PROTEC~1\hpfsch ed.exe;C:\ARCHIV~1\PROTEC~1\hpfsched.com;C:\ARCHIV~1\PROTEC~1\hpfsched.scr;C:\AR CHIV~1\PROTEC~1\hpfsched.vbs;C:\WINDOWS\SYSTEM\hpfsched.bat;C:\WINDOWS\SYSTEM\hp fsched.exe;C:\WINDOWS\SYSTEM\hpfsched.com;C:\WINDOWS\SYSTEM\hpfsched.scr;C:\WIND OWS\SYSTEM\hpfsched.vbs

Es decir, que me dices que hay espacios entre las palabras pero cuando yo lo voy a mirar están sin espacios... y en el log de hijackthis que yo puse están sin espacios. No sé si me explico...

Mensaje por **msc hotline sat** » 14 Jun 2006, 17:06

Pues no es lo que posteaste entre QUOTE especto el WIN.INI

En cualquier caso, no afecta al caso del WAM, Fantasma, MELO o variamnte del JESSE para el que dejamos abierto este Tema.

Mira si persiste el ERROR y en tal caso abre un Tema al respecto, aunque ya se haya dicho todo al respecto.

Al menos mira en tu QUOTE que habian espacios entre las palabras o frases que no debían tener espacios.

saludos

ms, 14-6-2006

pop · Mensaje por **pop** » 14 Jun 2006, 17:18

Ok. El problema persiste así que abro otro tema al respecto y te sigo explicando. Gracias.

Mensaje por **msc hotline sat** » 14 Jun 2006, 18:10

Pues seguimos aceptando en este consultas del WAM.EXE; Fantasma.avi.zip, correspondientes a virus MELO, DEL-506, JESSE, etc

ASunque con la version 1.2 del ElistarA ya no ha de haber problemas.

saludos

ms, 14-6-2006

Mensaje por **msc hotline sat** » 15 Jun 2006, 14:04

En referencia a esta nueva variante del "fantasma", Melo, DEL-506, JESSE:

[u]~~[b]~~[size=200] M U Y I M P O R T A N T E [/size][/b][/u]

AL CUARTO DIA DE EMITIR LOS AVISOS, SE ACTIVA SU PEOR PAYLOAD, DESCONOCIDO HASTA EL MOMENTO CON UN MENBSAJE QUE DICE:

ACTIVACION DE PRODUCTOS DE WINDOWS

Un problema impìde que Windows compruebe con precision el estado de la licencia para este equipo: CODIGO DE ERROR: 0x80090019

y el boton de ACEPTAR , pulsado el cual dice

APAGAR O REINICIAR SESION DE USUARIO

y de ahi no lo sacas

Estamos estudiando los efectos, pero sobre todo, los que se hayan infectado, NO DEBEN ESPERAR, y eliminarlo con el ElistarA lo mas pronto posible, no sea caso que ya lleve algun dia en progreso y llegado al cuarto día, ya no arranca mas que en modo seguro...

Lo cual se avisa en plan de emergencia por habernos encontrado con usuarios afectados

seguiremos informando

saludos

ms, 15-6-2006

Mensaje por **msc hotline sat** » 15 Jun 2006, 16:42

Bueno, la malicia del payload elimina en su cuarto día 3319 claves de registro, entre las cuales hay la del registro de windows, razon por la que no arranca normalmente y lazna el ERROR:

"Un problema impìde que Windows compruebe con precision el estado de la licencia para este equipo"

Podría probarse restaurar el registro al ultimo arranque bueno conocido, eso sí, tras haber ejecutado en modo seguro el ElistarA, para que no quedaran ficheros infectados, y con in poco de suerte...

voy a ver si un forero posiblemente afectado por dicho payload nos lo confirma

seguiremos informando

saludos

ms, 15-6-2006

NOTA: Por ultimo deberemos lanzar de nuevo el ElistarA por si el uñtimo arranque bueno fue cuando ya estabamos infectados... y asi asegurarnos. ms.

Mensaje por **msc hotline sat** » 15 Jun 2006, 17:49

TRAS LA ACTIVACION DEL CUARTO DIA :

La simple restauracion al ultimo punto bueno conocido no ha tenido exito

Y para acceder al rstrui.exe sin la barra de inicio, que hace desaparecer el marrano...:

[quote="msc"]
[u]~~[b]~~METODO CON EL QUE HEMOS LOGRADO LA RECUPERACION !!!: [/b][/u]

Para el caso que se haya activado el "fantasma.avi.zip" en su ciarto día, el ElistarA solo podrá eliminar claves viricas y focheros malwares, de las acciones en los 2 primeros días, pero no recuperará los 3319 claves eliminadas del payload del cuarto día !

Tras el ElistarA, restiuraremos a un punto anterior a la activacion del payload y luego remataremos ejecutando de nuevo el ElistarA:

como que no hay barra de inicio, lo haremos de otra forma:

PARA BUSCAR EN XP UN PUNTO DE RESTAURACION:

(Para ordenadores afectados por la acrivacion del "fantasma.avi.exe"

Arrancar en modo seguro

Boton derecho sobre escritorio y crear nueva carpeta

Doble clic sobre dicha carpeta

unidad C:

windows\system32\restore\rstrui.exe

ello abre la restauracion de sistema y ofrece CREAR o RECUPERAR, ver los que hay con RECUPERAR, que mostrarña un calendario de los puntos de restauracion, que cada actualizacion de windows habra creado uno, escoger uno de reciente pero antes de la infeccion o al menos de la activacion del payloafd

saludos

ms, 15-6-2006
[/quote]

ms.

[/quote]

jasoto · Mensaje por **jasoto** » 17 Jun 2006, 03:08

Hola de nuevo, despues de tanto ir y venir de virus y demas, parece que he conseguido limpiar el pc, pero....el muy puñetero creo que ha dejado huella, os cuento...entre las cosas que he podido detectar hasta ahora he visto que al acceder al Panel de Control / Cuentas de usuario, la ventana que salia anteriormente a pasado a ser blanca por completo...otra de las cosas es que cuando intento realizar una busqueda en una ventana cualquiera de windows, me resulta imposible, las opciones que suelen aparecer en la parte izquierda de la ventana han desaparecido por completo y solo sale el fondo de color y el perrillo que hace de lazarillo. Ademas alguno de los programas que tenia instalados, no funciona, ni siquiera me deja entrar, y aunque he probado a desinstalarlo y volverlo a instalar, el problema persite. Tambien he apreciado cierta lentitud en varios procesos, y trabajando con distintos programas que antes volaban sobre mi maquina.

Pues asi esta la cosa, ahora que parece que se ha quedado limpito el pc, no puedo sacarle el rendimiento que tenia antes.

Alguna sugerencia?? aunque antes sugeri el tema del formateo no me gustaria tener que hacerlo, tengo un "pepino" de ordenador Dell y venia muy bien configurado de la casa, no me gustaria cargarmelo.

Si puedo hacer algo, decidmelo por favor.

Mil millones de gracias por vuestra ayuda y soluciones, sois la caña.

Mensaje por **msc hotline sat** » 17 Jun 2006, 04:49

Posteanos el contenido del c:\infosat.txt para ver lo que hizo el ElistarA y aparte mira lo que decimos en el proximo post de este Tema.

saludos

ms- 17-6-2006

Mensaje por **msc hotline sat** » 17 Jun 2006, 04:56

Para que los afectados del payload de este virus puedan acceder facilmemte al calendario de ultimos puntos de restauracion, aparte de haber utilizado el ElistarA 1.2, hemos desarrollado la nueva utilidad ELRSTRUI.EXE que puede ejecutarse (solo en XP, claro) desde cualquier modo, incluso desde DOS arrancando en modo seguro con solo simbolo de sistema.

VCon ello hemos comprobado que hasta los ordenadores en los que se les ha acvtivado el payload del 4º día, entre el ElistarA y esta utilidad, han vuelto a la vida!:

Ver lo que indicamos en el siguiente Tema:

https://foros.zonavirus.com/viewtopic.php?p=59919#59919

saludos

ms, 17-6-2006

Mensaje por **msc hotline sat** » 17 Jun 2006, 07:24

A titulo de informacion, hoy, 4 dias despues que lo controlaramos en zonavirus, vsantivirus ofrece esta informacion:

http://vsantivirus.com/vb-ney.htm

aunque en su primera infornación todavía no se han enterado del payload del 4º día ... :cry: , aparte de que estan mezclando las variantes de JESSE.EXE (videosexy.zip) y la de WAM.EXE (fantasma.avi.zip)

En cualquier caso, con el ElistarA.EXE v 1.2 se controlan y eliminan loa dos, pero si no se procede a ello y pasan los dias, ya se sabe lo que hace al 4º dia la ultima variante...para cuya activacion, ademas del ElistarA disponemos del nuevo ELRSTRUI.EXE

saludos

ms, 17-6-2006

jasoto · Mensaje por **jasoto** » 18 Jun 2006, 11:05

Aqui va el contenido de InfoSat.txt...

Tue Jun 13 20:09:34 2006

EliJesse v1.2 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\CURSORS\WAM.EXE --> Eliminado

C:\AUTOR.TXT --> Eliminado

C:\WINDOWS\SYSTEM32\LSTX.BAT --> Eliminado

Tue Jun 13 20:10:26 2006

EliJesse v1.2 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones (por Exploración):

C:\AUTOEXEC.BAT.exe --> Eliminado.

C:\CONFIG.SYS.exe --> Eliminado.

C:\INFCACHE.1.exe --> Eliminado.

C:\VFB.log.exe --> Eliminado.

C:\vraylog.txt.exe --> Eliminado.

Thu Jun 15 21:32:14 2006

EliStartPage v11.89 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jun 15 21:35:24 2006

EliStartPage v11.89 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\FastStone Image Viewer\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Webteh\BSplayerPro\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Archivos de programa\XoftSpy\UNINSTALL.EXE --> AutoExtraible

C:\JAS\Programas\XOFTSPY422_182B.EXE --> AutoExtraible

C:\JAS\Programas\Aplicaciones PC\Tuneo\Crystal XP Them 3.0\PACK_CRYSTAL_XP_3.0_RC1.EXE --> AutoExtraible

C:\JAS\Programas\Aplicaciones PC\Tuneo\FlyakiteOSX 2.0\FLYAKITEOSXV2.0.EXE --> AutoExtraible

C:\JAS\Programas\Messenger 7\FSVIEWERSETUP.EXE --> AutoExtraible

C:\JAS\Programas\Winamp\WINAMP5092_FULL_HAWTHORNE_EMUSIC-7PLUS.EXE --> AutoExtraible

Thu Jun 15 21:56:05 2006

EliStartPage v11.89 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jun 15 21:58:56 2006

EliStartPage v11.89 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\FastStone Image Viewer\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Spyware Doctor\tools\EG.DAT.VIR --> Eliminado, DownLoader

C:\Archivos de programa\Spyware Doctor\tools\KLG.DAT.VIR --> Eliminado, DownLoader

C:\Archivos de programa\Webteh\BSplayerPro\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Archivos de programa\XoftSpy\UNINSTALL.EXE --> AutoExtraible

C:\JAS\Programas\XOFTSPY422_182B.EXE --> AutoExtraible

C:\JAS\Programas\Aplicaciones PC\Tuneo\Crystal XP Them 3.0\PACK_CRYSTAL_XP_3.0_RC1.EXE --> AutoExtraible

C:\JAS\Programas\Aplicaciones PC\Tuneo\FlyakiteOSX 2.0\FLYAKITEOSXV2.0.EXE --> AutoExtraible

C:\JAS\Programas\Messenger 7\FSVIEWERSETUP.EXE --> AutoExtraible

C:\JAS\Programas\Winamp\WINAMP5092_FULL_HAWTHORNE_EMUSIC-7PLUS.EXE --> AutoExtraible

Fri Jun 16 14:02:54 2006

EliStartPage v11.89 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jun 16 14:03:55 2006

EliStartPage v11.89 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\FastStone Image Viewer\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Webteh\BSplayerPro\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Archivos de programa\XoftSpy\UNINSTALL.EXE --> AutoExtraible

C:\JAS\Programas\XOFTSPY422_182B.EXE --> AutoExtraible

C:\JAS\Programas\Aplicaciones PC\Tuneo\Crystal XP Them 3.0\PACK_CRYSTAL_XP_3.0_RC1.EXE --> AutoExtraible

C:\JAS\Programas\Aplicaciones PC\Tuneo\FlyakiteOSX 2.0\FLYAKITEOSXV2.0.EXE --> AutoExtraible

C:\JAS\Programas\Messenger 7\FSVIEWERSETUP.EXE --> AutoExtraible

C:\JAS\Programas\Winamp\WINAMP5092_FULL_HAWTHORNE_EMUSIC-7PLUS.EXE --> AutoExtraible

Fri Jun 16 14:21:57 2006

EliStartPage v11.89 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jun 16 14:22:54 2006

EliStartPage v11.89 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\FastStone Image Viewer\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Webteh\BSplayerPro\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Archivos de programa\XoftSpy\UNINSTALL.EXE --> AutoExtraible

C:\JAS\Programas\XOFTSPY422_182B.EXE --> AutoExtraible

C:\JAS\Programas\Aplicaciones PC\Tuneo\Crystal XP Them 3.0\PACK_CRYSTAL_XP_3.0_RC1.EXE --> AutoExtraible

C:\JAS\Programas\Aplicaciones PC\Tuneo\FlyakiteOSX 2.0\FLYAKITEOSXV2.0.EXE --> AutoExtraible

C:\JAS\Programas\Messenger 7\FSVIEWERSETUP.EXE --> AutoExtraible

C:\JAS\Programas\Winamp\WINAMP5092_FULL_HAWTHORNE_EMUSIC-7PLUS.EXE --> AutoExtraible

Que me podeis decir con esto...

jasoto · Mensaje por **jasoto** » 18 Jun 2006, 11:11

Afortunadamente puedo decir que a mi pc no le llego la muerte en el 4º dia, pero el virus si que ha dejado secuelas mu puñeteras como las que comentaba antes y que no tengo ni idea de que hacer para que esto funcione como antes.

Sigo sin poder hacer busquedas desde windows, ni en modo seguro ni na, sigo sin ver las cuentas de usuario, sigo sin poder ejecutar uno de los programas que mas uso, da igual que lo instale mil veces, las mil veces da error, y tambien he notado que no va tan rapidillo como antes. De momento estos son los sintomas que he detectado.

Con la nueva utilidad ELRSTRUI.EXE, que tengo que hacer, no se muy bien cuales son los pasos a seguir y no la quiero cagar, me lo podeis explicar??

Muchisisisisimas gracias por todo!!!

jasoto · Mensaje por **jasoto** » 18 Jun 2006, 11:41

Acabo de ejecutar el Elrstrui.exe en modo seguro de XP y... !!!!!

En la ventana que sale doy a continuar y no pasa nada...o si ??? yo no veo que haya hecho nada....solo veo que en el Administrador de tareas de Windows hay un proceso activo que se llama rstrui.exe....no se que tengo que hacer ahora????

HELPME!!!

Virus atacando... fantasma.avi.exe (SOLUCIONADO)

fantasma vurus

Fantasma.zip