movie pass

[falck]

he leido por el foro que para que me ayuden a quitar el movie pass debia copiar el .log

que me aparecia



gracias espero que me puedan ayudar. :roll:

[falck]

Logfile of HijackThis v1.99.1

Scan saved at 21:41:05, on 03/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\DAEMON Tools\daemon.exe

C:\Archivos de programa\License_Manager\license_manager.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\UPSMON\Upsmon.exe

C:\Archivos de programa\UPSMON\UPSData.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

D:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchnugget.com/toolbar/sn_sidebar.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {DE8CE612-EA01-4628-8952-BBD62077A1D4} - C:\WINDOWS\system32\termmgrd.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [Kaspersky] C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\KAV Personal Pro\5.0\Save Kaspersky.bat

O4 - HKCU\..\Run: [DW4] "C:\Archivos de programa\The Weather Channel FW\Desktop Weather\DesktopWeather.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [License Manager] "C:\Archivos de programa\License_Manager\license_manager.exe " /silent

O4 - Startup: UPSMON.lnk = C:\Archivos de programa\UPSMON\Upsmon.exe

O4 - Global Startup: Consola KIT ADSL.lnk = C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.EXE

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\KEM.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137789753375

O17 - HKLM\System\CCS\Services\Tcpip\..\{D6A2CBBF-1D91-4541-8EE8-B9696A17DC88}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

[Ronald12]

Bueno antetodo, darles las gracias por llevar a cabo esto que estan haciendo, porque creanme que habemos muchas personas, que si no existiesen estos foros, hace bastante rato hubiesemos eliminado nuestras Pc's por falta de paciencia con estos venditos problemas. Estube leyendo que para solucinar esto del moviepass, habia que descargar el HijachThis, ejecutarlo, y devolver como respuesta lo que salia en el bloc de notas. bueno hice todo eso y aqui va lo que salio en el bloc, y espero que por favor me puedan ayudar. gracias y suerte en sus actividades diarias.



Logfile of HijackThis v1.99.1

Scan saved at 17:10:15, on 24/06/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



[size=24] I N T E R V E N I D O [/size]



POR



[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]



no deben mezclarse logs de 2 ordenadores en un mismo Tema.



https://foros.zonavirus.com/viewtopic.php?t=6268



Posteelo en Tema aparte, tras seguir las instrucciones:



https://foros.zonavirus.com/viewtopic.php?t=5148



______

[msc hotline sat]

Para falck:



No solo tiene el moviepass.tv sino PUPER y StartPage...



Pruebe el ELISTARA y le eliminará los conocidos, y si le pide que envie muestras, hagalo e implementaremos su control en la proxima version





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



saludos



ms, 4-7-2006

[msc hotline sat]

Para Ronald12:



No deben postearse dos logs de HJT en un mismo Tema...



https://foros.zonavirus.com/aviso-importante-no-mezclar-en-un-tema-logs-de-2-ordenadore-vt6268.html



Pero le faltan todos los parches del SP2 u posteriores. Actualicelos lanzando un windowsupdate !!!



Y Tras ello pruebe el ELISTARA, que le eliminará muchos bichos y quizas le pedirá muestras, en tal caso envienoslas e implementarenmos su control en la proxima version





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





saludos



ms, 4-6-2006

[falck]

perdon por repetir tema :oops:





muchas gracias por ayudarme a resolver el problema :wink:

[msc hotline sat]

Pruebe lo indicado y vea si le elimina el PUPER o se trata de alguna nueva variante, de la que cada día tenemos alguna, y le pedimos muestra para controlarlo.



Ello lo verá en C:\infosat.txt , fichero cuyo contenido conviene que nos postee para que podamos considerar resuelto el problema o no.



saludos



ms, 4-7-2006

[falck]

creo que es esto





Tue Jul 04 10:02:49 2006

EliStartPage v12.00 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\LICENSE_MANAGER\LICENSE_MANAGER.EXE --> Eliminado MoviePass

C:\WINDOWS\SYSTEM32\ENTRY.DLL --> Eliminado MoviePass

Entrada Eliminada [HKCU\...\Run] "License Manager"=""C:\Archivos de programa\License_Manager\license_manager.exe " /silent"

Eliminada Class, "{7BF58804-E672-4B96-8EEC-BFCCE6492C9A}" -> NULL1

Eliminada Class, "{B3E19860-0CD5-4991-A066-4FCA2704DE59}" -> C:\WINDOWS\system32\entry.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jul 04 10:38:06 2006

EliStartPage v12.00 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos de Programa%\License_Manager"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jul 04 10:38:55 2006

EliStartPage v12.00 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Archivos comunes\WinFixer 2005\FCRXML.DLL --> Eliminado, WinFixer 2005

C:\Archivos de programa\Archivos comunes\WinFixer 2005\UWAPPCHK.DLL --> Eliminado, ErrorSafe

C:\Archivos de programa\Satsuki Decoder Pack\filtres\haali\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Webteh\BSplayer\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\PATCH_PERS_5.0.388_390_TO_5.0.391.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\PATCH_PERS_5.0.388_TO_5.0.390.EXE --> AutoExtraible

C:\WINDOWS\Temp\KAV Updater update files\PATCH_PERS_5.0.121_236_TO_237.EXE --> AutoExtraible



Tue Jul 04 10:43:43 2006

EliStartPage v12.00 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

D:\dani\Half-Life 2 Episode One\bin\TRACKERNET.DLL --> Eliminado, MoviePass

D:\dani\Kaspersky_Anti-Virus_Personal_v5.0.156_Español_Spanish+Licencia_Key_garantizado_por_Luismi\KAV5.0.156_PERSONALES.EXE --> AutoExtraible



Tue Jul 04 10:44:33 2006

EliStartPage v12.00 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

D:\dani\Kaspersky_Anti-Virus_Personal_v5.0.156_Español_Spanish+Licencia_Key_garantizado_por_Luismi\KAV5.0.156_PERSONALES.EXE --> AutoExtraible



Tue Jul 04 10:44:46 2006

EliStartPage v12.00 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

D:\dani\Kaspersky_Anti-Virus_Personal_v5.0.156_Español_Spanish+Licencia_Key_garantizado_por_Luismi\KAV5.0.156_PERSONALES.EXE --> AutoExtraible



Tue Jul 04 10:46:08 2006

EliStartPage v12.00 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Satsuki Decoder Pack\filtres\haali\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Webteh\BSplayer\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\PATCH_PERS_5.0.388_390_TO_5.0.391.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\PATCH_PERS_5.0.388_TO_5.0.390.EXE --> AutoExtraible

[falck]

que opinan? :lol:

[msc hotline sat]

El moviepas ha sido eliminado, y otras hierbas tambien, pero no veo la eliminacion del



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchnugget.com/toolbar/sn_sidebar.php



O2 - BHO: (no name) - {DE8CE612-EA01-4628-8952-BBD62077A1D4} - C:\WINDOWS\system32\termmgrd.dll



O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe





y este fichero nos parece sospechoso, envianoslo:



C:\WINDOWS\system32\termmgrd.dll







Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF FALCK" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





y posteanos nuevo log del HJT, a ver si persisten o no las claves arriba indicadas



SALUDOS



MS, 4-7-2006

[falck]

ya envie el log con el hjt y el archivo.dll

espero que les ayude



y por favor avisen si tengo que eliminarlo o algo asi



gracias :D

[Ronald12]

Buenas que tal, bueno les escribo para agradecerles de una manera significativa la gran ayuda que me han brindado para solucionar no solo este problema del moviepass, sino tambien otros que ni sabia de su existencia. Aparentemente todo salio bien y se soluciono esta molesta situacion, nuevamente muchas gracias por su ayuda, y a todas las otras personas que tengan la oportunidad de leer esto, recomendarles que confien en estas personas porque de verdad que solucionan. Cualquier problema que vuelva a tener, tengan por seguro que se los hare saber, porque han demostrado ser una entidad de confiar. Suerte en sus actividades diarias.

[msc hotline sat]

Ronald12, celebramos que lo haya solucionado.



y falck, cuando decimos postear el log del HJT es copiar aqui, en el foro, en un post de respuesta a este Tema, su contenido, no enviarlo por mail, que en el servicio tecnico de SATINFO solo se analizan las muestras viricas, pero los logs deben ser de asociados a sus servicios y no es el caso.



Asi que posteanos aqui el log actual del HJT, gracias



saludos



ms, 4-7-2006

[falck]

lo siento soy nuevo en el foro y aún no me desenvuelvo bien



Logfile of HijackThis v1.99.1

Scan saved at 22:21:47, on 04/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.EXE

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\UPSMON\Upsmon.exe

C:\Archivos de programa\UPSMON\UPSData.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\eMule\emule.exe

C:\DOCUME~1\Admin\CONFIG~1\Temp\50ex3.modul32.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

D:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {DE8CE612-EA01-4628-8952-BBD62077A1D4} - C:\WINDOWS\system32\termmgrd.dll (file missing)

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [Kaspersky] C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\KAV Personal Pro\5.0\Save Kaspersky.bat

O4 - HKLM\..\Run: [Outpost Firewall] "C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe" /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-AH1P0.exe" /REG

O4 - HKCU\..\Run: [DW4] "C:\Archivos de programa\The Weather Channel FW\Desktop Weather\DesktopWeather.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: UPSMON.lnk = C:\Archivos de programa\UPSMON\Upsmon.exe

O4 - Global Startup: Consola KIT ADSL.lnk = C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.EXE

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\KEM.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137789753375

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D6A2CBBF-1D91-4541-8EE8-B9696A17DC88}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: C:\ARCHIV~1\Agnitum\OUTPOS~1\wl_hook.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

[msc hotline sat]

Como me temia, persiste un PUPER !!!



Descarga de nuevo el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



y tras ejecutarlo y reiniciar, posteanos el contenido de C:\infosat.txt para ver si lo ja eliminado o pide muestras, o le pasa desapercibido ..., pero no lo vamos a dejar escapar !



saludos



ms, 5-7-2006

[msc hotline sat]

Aparte de lo indicado, he visto que las claves que quería eliminar han de serlo con el ELITRIIP, que es con el que las controlamos, si bien para el moviepass y otros hacia falta el ELISTARA que es el que hemos usado

Pero ahora probaremos el ELITRIIP:
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp


y tras ejecutarlo y reiniciar, posteenos el C:\infosat.txt que rambien esta utilidad añade allí el proceso realizado

Es que tenía un buen surtido ... !!!

saludos

ms, 5-7-2006

[falck]

pase el elitrip y me pidio muestras pero mas tarde me dijo que lo habia eliminado





Wed Jul 05 11:07:21 2006

EliTriIP v2.35 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado

[msc hotline sat]

No, es que hay mucho texto, debido a que con esta utilidad se controlan los gusanos que entran por las tres grandes vulnerabilidades de windows, la del RPCDCOM, la del desbordamiento de buffer del LSASS y la de las comparticiones administrativas, y reunimos en dicha utilidad el control de muchos bichos y consiguiente texto acumulativo

Es como el ELISTARA, en el que incluimos las penurias de la navegación por Internet y que el histórico era tan grande que ya tuvimos que sacarle peso y los de antes de la version 11.00

y a pesar de ello, al ser diarios los nuevos controles de variantes que van apareciendo continuamente, y se gace grande por momentos

Pero sirven mucho...

saludos

ms, 5-7-2006

[falck]

entonces sta solucionado el problema :lol: ????''

[falck]

tengo que enviar las muestras que guardo en c:/muestras???

[msc hotline sat]

Claro que tienes que enviar las muestras... Tras analizarlas las imoplementaremos en la nieba version de la utilidad y asi controlara y eliminara ficheros y claves al respecto



Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF falck" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.



saludos



ms, 5-7-2006

[falck]

ya esta enviado

[msc hotline sat]

Loque hemos recibido ha sido el smss,exe original de microsoft. Este no es el que necesitamos, sino lo que hay en la carpeta C:\MUESTRAS que son los viricos



Repite el envio con lo procedente, gracias



saludos



ms, 5-7-2006

[falck]

ya lo envie por favor diganme si es el que necesitabais

[msc hotline sat]

Revisadas las ultimas recepciones de muestras, no se ha recibido ningun smss.exe



Repite el envio, y dado que quizas ha sido interceptado por algun antivirus de un servidor intermedio , envianoslo empaquetado en un ZIP con password VIRUS , gracias



saludos



ms, 6-7-2006

[falck]

ya lo envie pero sin contraseña debido a que no sabía





me podriais decir como se le pone contraseña

[msc hotline sat]

Cuando se hace el ZIP con WINZIP o WINRAR, se le dice que lo encripte con la contraseña que le digas (ponle VIRUS) y asi este password hace que los antivirus intermedios no lo detecten y llegue a destino.

Normalmente no hace falta, pero...

saludos

ms, 6-7-2006

nota: ya hemos subido la 12.02:

http://www.zonavirus.com/descargas/elistara.asp

pruebala por si ya lo controlaramos. ms.

[falck]

lo acabo de probar y lo ha ignorado







les esta dando mucha lata este virus???? :roll:

[falck]

ya lo envie espero que puedan crear el antivirus :D

[msc hotline sat]

Mañana cuando lleguemos al trabajo lo miraremos y si es correcto, lo incluiremos en el ELISTARA del mismo día



saludos



ms, 6-7-2006