Entrada masiva de correos

cachas · Mensaje por **cachas** » 09 Jul 2006, 10:18

Buenos dias, tengo un problema que espero que me podais solucionar, deciros que soy muy novato. Desde hace un par de dias, no paran de entrarme correos y son todos de tipo devolución, como si yo los enviara y me llegasen devueltos. Me han legado a entrar más de 5000 con lo cual el outlook se me satura. Aqui pongo lo que me ha salido con el hijactricks por si sirve

Logfile of HijackThis v1.99.1

Scan saved at 10:19:15, on 09/07/2006

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\SYSTEM\HPZTSB10.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HPCORETECH\HPCMPMGR.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\MSN APPS\UPDATER\01.03.0000.1005\ES\MSNAPPAU.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\INET20091\SOCKS.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\MSAGENT\AGENTSVR.EXE

C:\MIS DOCUMENTOS\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Nh4mHWDdShF5I/ak7TCT1FSZNea8pYrhFi0y6dFOeFqSUqwc/fao0pyXyjLuKNH5uHn3XqjPLZIt/9gUyb6tGEsah/0dKSaXmUOJ8ExLyXr+su9ikhVr3YTF4RTqYVBIIj/WzGSOt+1Yu4pkt5q55HqP9XOjzcE0aLmxU5PJBpB

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES\MSNTB.DLL

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Starware - {ca8bdcd4-2c4a-4254-9560-afff2df03167} - C:\ARCHIVOS DE PROGRAMA\STARWARE\BIN\STARWARE.DLL (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES\MSNTB.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Starware - {d05ed0ba-9dfb-4a18-a804-acf75f25cb8e} - C:\ARCHIVOS DE PROGRAMA\STARWARE\BIN\STARWARE.DLL (file missing)

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb10.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [THOffice] C:\Archivos de programa\THOffice\THOffice.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.03.0000.1005\es\msnappau.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\INET20091\SOCKS.EXE

O4 - HKLM\..\Run: [DrefIW] C:\WINDOWS\SYSTEM\SysDrefIWv2.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - HKCU\..\Run: [DrefIW] C:\WINDOWS\SYSTEM\SysDrefIWv2.exe

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1349fcda385fd973a315/netzip/RdxIE601_es.cab

O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct3_x.cab

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.leaderphoto.com/XUpload.ocx

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin9x/AvSniff.cab

O16 - DPF: {01E69986-A054-4C52-ABE8-EF63DF1C5211} - http://www.peakclick.com/toolbar/4456/toolbar.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_ansi.cab

Gracias de antemano

Mensaje por **msc hotline sat** » 09 Jul 2006, 11:58

Eliminar

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Nh4mHWDdShF5I/ak7TCT1FSZ Nea8pYrhFi0y6dFOeFqSUqwc/fao0pyXyjLuKNH5uHn3XqjPLZIt/9gUyb6tGEsah/0dKSaXmUOJ8ExL yXr+su9ikhVr3YTF4RTqYVBIIj/WzGSOt+1Yu4pkt5q55HqP9XOjzcE0aLmxU5PJBpB

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL

O2 - BHO: Starware - {ca8bdcd4-2c4a-4254-9560-afff2df03167} - C:\ARCHIVOS DE PROGRAMA\STARWARE\BIN\STARWARE.DLL (file missing)

O3 - Toolbar: Starware - {d05ed0ba-9dfb-4a18-a804-acf75f25cb8e} - C:\ARCHIVOS DE PROGRAMA\STARWARE\BIN\STARWARE.DLL (file missing)

y enviarnos muestras de:

C:\WINDOWS\INET20091\SOCKS.EXE

C:\WINDOWS\SYSTEM\SysDrefIWv2.exe

Esta claro que puede ser un gusano de propagacion por e-mail cuyos envios sean a direcciones apañadas y estés recibiendo mails devueltos de las no existentes

Luego sigo

ms

Mensaje por **msc hotline sat** » 09 Jul 2006, 12:38

Ya estoy de vuelta

Bueno, las muestras solicitadas envialas a:

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF cachas" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

y para eliminar las claves:

Lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:

En cuanto recibamos las muestras, las examinaremos y procederemos a implementar su control y eliminacion, si procede, en nuestras utilidades, de lo que informaremos en el foro

saludos

ms, 9-7-2006

Mensaje por **msc hotline sat** » 09 Jul 2006, 13:47

Terminadas las urgencias del foro he vuelto a este por considerarlo posible nuevo virus de poropoagacion por e-mail a direcciones posinlemente erroneas y creo que hemos acertado !:

http://www.sophos.com/virusinfo/analyses/w32drefc.html

En cuanto recibamos los ficheros muestra solicitados, implementaremos su control y eliminacion en nuestras utilidades e infomaremos

Parece que envia mails a direcciones de dominios existentes en el ordenador, pero con nombres aleatorios, razon por la que recibe devueltos tantos mails, claro !

saludos

ms. 9-7-2006

Si quiere, tras enviarnos las muestras, renombre los ficheros indicados a .bak por ejemplo, o los cambia de carpeta para que no se encuentren en la ruta programada, y tras reiniciar ya no se pondrán en uso y dejarán de enviar mails en cuestion- Luego, con la utilidad, ya restauraremos las claves que hubieren modificado.

Y HAGALO PRONTO !!! : "The Worm may begin to delete all files on the system prior to sending any emails"

ms

cachas · Mensaje por **cachas** » 09 Jul 2006, 14:02

Logfile of HijackThis v1.99.1

Scan saved at 14:07:51, on 09/07/2006

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\SYSTEM\HPZTSB10.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HPCORETECH\HPCMPMGR.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\MSN APPS\UPDATER\01.03.0000.1005\ES\MSNAPPAU.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\INET20091\SOCKS.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\MIS DOCUMENTOS\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES\MSNTB.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES\MSNTB.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb10.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [THOffice] C:\Archivos de programa\THOffice\THOffice.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.03.0000.1005\es\msnappau.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\INET20091\SOCKS.EXE

O4 - HKLM\..\Run: [DrefIW] C:\WINDOWS\SYSTEM\SysDrefIWv2.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - HKCU\..\Run: [DrefIW] C:\WINDOWS\SYSTEM\SysDrefIWv2.exe

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1349fcda385fd973a315/netzip/RdxIE601_es.cab

O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct3_x.cab

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.leaderphoto.com/XUpload.ocx

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin9x/AvSniff.cab

O16 - DPF: {01E69986-A054-4C52-ABE8-EF63DF1C5211} - http://www.peakclick.com/toolbar/4456/toolbar.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_ansi.cab

Esto es lo que me sale despues de eliminar lo que me comentastes. te envio el primer fichero que me pides el otro no lo encuentro. gracias

Mensaje por **msc hotline sat** » 09 Jul 2006, 14:06

pUES DATE PRISA EN ELIMINAR LAS CLAVES DE CARGA DEL QUE NO ENCUENTRAS, POR SI ACASO:

MIRA EN:

http://www.securitystronghold.com/enc/DrefIW-SysDrefIWv2.exe-problem-solution-1852.php

ELIMINA ESTAS DOS MAS !!!:

O4 - HKLM\..\Run: [DrefIW] C:\WINDOWS\SYSTEM\SysDrefIWv2.exe

O4 - HKCU\..\Run: [DrefIW] C:\WINDOWS\SYSTEM\SysDrefIWv2.exe

Y LIUEGO YA BUSCARAS LOS FICHEROS Y NOS LOS ENVIARAS PARA PODER CONTROLARLO TOTALMENTE !!!

saludos

ms,. 9-7-2006

cachas · Mensaje por **cachas** » 09 Jul 2006, 14:17

ya los eliminé. He entrado en la página que me indicas pero de inglés... ni idea, sigo buscando el fichero que me pides pero no hay manera de encontrarlo. El otro no he podido renmbrarlo ya que me dice que lo está usando windows

Mensaje por **msc hotline sat** » 09 Jul 2006, 14:18

Luego, tras reiniciar y ya mas tranquilos busca con INICIO -> BUSCAR los ficheros

SysDref*.*

en todas las carpetas del disco duro, mirando ocultos y de sistema, a ver si lo encuentras y nos lo envias, pero lo primero es lo primero !!!

Y parece que es de los que borran ... !

La cuestion es que no se active ningun payload desctructivo , que seguro sería peor.

Ya nos diras si lo encuentras o qué, pero por lo menos, evitemos su activacion-

saludos

ms, 9-7-2006

cachas · Mensaje por **cachas** » 09 Jul 2006, 14:29

Ya reinicié y sigo sin encontrar nada¡¡¡¡¡

cachas · Mensaje por **cachas** » 09 Jul 2006, 14:30

Por cierto he abierto el outllok y me siguen entrando esos correos

Mensaje por **msc hotline sat** » 09 Jul 2006, 19:39

El que te devuelvan los correos que enviaste o envbió este virus con direcciones inventadas es lógico. Cuando hayan vuelto todos los envios que hiciste, se acabaran las devoluciones

Voy a buscarte infomacion en castellano, aunque el ingles tecnico informático se entiende bien y a veces es mejor huir de malas traducciones que pueden provocar malos entendidos...

Si ya eliminaste las dos claves, vuelve a lanzar un HJT y posteanos el log para que veamos que no se ha restabblecido...

Es que sin conocer lo que puede hacer mas vale asegurarse...

Ahora te postearé link y cuando termine de atender el foro me informo mas a fondo, a ver poirqué no encuentras estos ficheros que necesitamos de muestra.

saludos

ms, 9-7-2006

Mensaje por **msc hotline sat** » 09 Jul 2006, 20:00

Aquí tienes informacion en castellano al respecto, pero veo que este virus es del año pasado:

http://www.arielsixto.com.ar/virust.php?subaction=showfull&id=1125640218&archive=&start_from=&ucat=1&

Por lo que cualquier antivirus te lo debería controlar, a no ser que se tratara de una variante no conocida

Por otro lado, parece que el payload a activacion de su bomba logica, lo hace el día de San pedri de cada año, que hace poco hemos pasado el 29 del pasado mes de Junio, asi quie estamos de suerte ! Si hiuniera sido el caso, dicho dia hubiera borrado los ficheros de todas las unidades locales y mapeadas en redes...

Bueno, mejor que no haya sido asi !

De todas fomas espero que nos postees el log del HJT actual, gracias

saludos

ms, 9-7-2006

cachas · Mensaje por **cachas** » 09 Jul 2006, 20:57

Logfile of HijackThis v1.99.1

Scan saved at 21:04:29, on 09/07/2006

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\SYSTEM\HPZTSB10.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HPCORETECH\HPCMPMGR.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\MSN APPS\UPDATER\01.03.0000.1005\ES\MSNAPPAU.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\INET20091\SOCKS.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\MIS DOCUMENTOS\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES\MSNTB.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES\MSNTB.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb10.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [THOffice] C:\Archivos de programa\THOffice\THOffice.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.03.0000.1005\es\msnappau.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\INET20091\SOCKS.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1349fcda385fd973a315/netzip/RdxIE601_es.cab

O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct3_x.cab

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.leaderphoto.com/XUpload.ocx

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin9x/AvSniff.cab

O16 - DPF: {01E69986-A054-4C52-ABE8-EF63DF1C5211} - http://www.peakclick.com/toolbar/4456/toolbar.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_ansi.cab

Este es el actual, de los dos ficheros que me pediste uno si te lo envie, te llego? el otro sin rastro. Parece ser que tienes razón y entran bastantes menos correos.

cachas · Mensaje por **cachas** » 09 Jul 2006, 21:00

Logfile of HijackThis v1.99.1

Scan saved at 21:04:29, on 09/07/2006

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\SYSTEM\HPZTSB10.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HPCORETECH\HPCMPMGR.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\MSN APPS\UPDATER\01.03.0000.1005\ES\MSNAPPAU.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\INET20091\SOCKS.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\MIS DOCUMENTOS\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES\MSNTB.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES\MSNTB.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb10.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [THOffice] C:\Archivos de programa\THOffice\THOffice.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.03.0000.1005\es\msnappau.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\INET20091\SOCKS.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1349fcda385fd973a315/netzip/RdxIE601_es.cab

O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct3_x.cab

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.leaderphoto.com/XUpload.ocx

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin9x/AvSniff.cab

O16 - DPF: {01E69986-A054-4C52-ABE8-EF63DF1C5211} - http://www.peakclick.com/toolbar/4456/toolbar.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_ansi.cab

Este es el actual, de los dos ficheros que me pediste uno si te lo envie, te llego? el otro sin rastro. Parece ser que tienes razón y entran bastantes menos correos.

Mensaje por **msc hotline sat** » 09 Jul 2006, 21:15

Bueno, por lo menos el peligroso ya está fuera de circulacion y no aparece en el log del HJT

Pero como que este otro que nos has enviado muestra, persiste, de momento muevelo a una carpeta de cuarentena :

C:\WINDOWS\INET20091\SOCKS.EXE

y tras reiniciar ya no lo encontrará y no lo podrá poner en marcha

y la muestra se ha enviado a SATINFO, en donde mañana se examinará, son cuentas muestras viricas con acceso restringido

saludos

ms, 9-7-2006

Nota: Pienso que al ser un virus antiguo, tu antiivirus ha eliminado los ficheros en cuestion- Si no vuelven a aparecer, entenderemos que eran variantes ya conocidas.

Mensaje por **msc hotline sat** » 10 Jul 2006, 11:16

Bueno, pues este SOCKS.EXE tambien era bicho, como no !

Ya de entrada McAfee lo detecta como GENERIC PROXY.C

Con el ELISTARA 12.05 que estamos haciendo ya se conmtrolará y eliminará claves y ficheros al respecto

En cuanto esté disponible se subirá a esta web para pruebas de evaluacion y se informará al foro

La pruebas y nos comentas el resultado, gracias

saludos

ms, 10-7-2006

Mensaje por **msc hotline sat** » 10 Jul 2006, 11:45

Aparte de lo indicado, si alguno de los mails devueltos lleva anexado un fichero, envienoslo como muestra a ver si se trata de una variante o qué del virus que entendemos ha ocasionado esta propagacion masiva y vuelta consecuente por envio a direcciones no existentes

Ahora ya puede descargar la nieva verison del ELISTARA 12.05 que contempla el control de su otro bicho, el SOCKS.EXE, aparte de 9 PUPER, mas Backdoor CVT, nueva variante de Moviepass, etc:

---v12.05-(10 de Julio del 2006) (Muestras de (4)Puper(dr) "DCOMCFG.EXE", (5)Puper(dldr) "ATMCLK.EXE y REGPERF.EXE", Puper(bho) "HP100.TMP", BackDoor-CVT "WIN***32.DLL", Proxy.C "SOCKS.EXE", MoviePass "License_Manager.exe" y para el Spy.BZub.AU de VSAntivirus)

Descargue la nueva version , pruebela y nos postea el resultado pegandonos el contenido de C:\infosat.txt

saludos

ms, 10-7-2006

cachas · Mensaje por **cachas** » 10 Jul 2006, 21:20

Ayer me dejo eliminar el archivo socks.exe ya que aproveche que me salió un error y de que se iba a cerrar el programa y lo eliminé. Voy a descargar el elistara y ya os informo, gracias.

cachas · Mensaje por **cachas** » 10 Jul 2006, 21:31

Hoy al conectarme me ha vuelto a entrar más de 300 correos. he pasado el elistara y me da un error si le digo que elimine los archivos temporales de internet, lo he pasado indicandole que no los borre y no me ha salido ningún archivo infectado.

Mensaje por **msc hotline sat** » 10 Jul 2006, 22:03

Pues elimina los temporales de internet a mano, abre el navegador I.E, ->Herramientas-> Opciones de Internet -> Seguridad -> Eliminar Temporales y Cookies

Y es logico que vuelvan algunos todavia, hasta que se cansen de dar vueltas ... :lol:

Ya iran menguando. Sigue informandonos y cuando io veas claro, lo consideraremos solucionado

saludos

ms, 10-7-2006

cachas · Mensaje por **cachas** » 12 Jul 2006, 19:28

Ya pensaba tener controlado el tema y al conectarme hace un momento me han intentado entrar mas de 5000 correos. Ya eliminé el shocks.exe como te comenté y he pasado el elistara y no me detecta nada. El nuevo log que me sale es el siguiente, ¿que puedo hacer?

Logfile of HijackThis v1.99.1

Scan saved at 19:24:27, on 12/07/2006

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\SYSTEM\HPZTSB10.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HPCORETECH\HPCMPMGR.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\MSN APPS\UPDATER\01.03.0000.1005\ES\MSNAPPAU.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\MIS DOCUMENTOS\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES\MSNTB.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES\MSNTB.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb10.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [THOffice] C:\Archivos de programa\THOffice\THOffice.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.03.0000.1005\es\msnappau.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1349fcda385fd973a315/netzip/RdxIE601_es.cab

O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct3_x.cab

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.leaderphoto.com/XUpload.ocx

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin9x/AvSniff.cab

O16 - DPF: {01E69986-A054-4C52-ABE8-EF63DF1C5211} - http://www.peakclick.com/toolbar/4456/toolbar.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_ansi.cab

Mensaje por **msc hotline sat** » 12 Jul 2006, 19:49

En un poost anterior deciamos:

"·Aparte de lo indicado, si alguno de los mails devueltos lleva anexado un fichero, envienoslo como muestra a ver si se trata de una variante o qué del virus que entendemos ha ocasionado esta propagacion masiva y vuelta consecuente por envio a direcciones no existentes "

No hemos recibido muestra de dicho mail, del fichero anexado a los mismos ni del que pediamos incialmente, gusano de este virus

SYSDREF*.*

Bueno, voy a mirar el log, pero si no nos ayudas con la muestra del bicho...

luego sigo

Mira, solo tienes sospechosas estas tres claves:

O4 - HKLM\..\Run: [THOffice] C:\Archivos de programa\THOffice\THOffice.exe

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.leaderphoto.com/XUpload.ocx

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

Si este THOffice.exe no lo has instalado voluntariamente, envianos muestra y elimina la clave

y las otras dos son DPF, voy a ver lo que descargan ... Estan bloqueadas, puedes borrar las dos-

saludos

ms, 12-7-2006

cachas · Mensaje por **cachas** » 12 Jul 2006, 19:56

Te lo envie hace un par de dias, te lo vuelvo a enviar ahora mismo.

cachas · Mensaje por **cachas** » 12 Jul 2006, 20:02

Te lo acabo de enviar, si ves que no te llega dímelo y te lo envio desde otra cuenta de correo vaya a que ésta de problemas, en un principio me sale como enviado, gracias. He vuelto a buscar el socks.exe y el sysdref y no hay rastro

Mensaje por **msc hotline sat** » 12 Jul 2006, 20:03

Recuerda enviarla con referencia "REF cachas" anexada a un mail a zonavirus@satinfo.es

mañana la veremos.

saludos

ms, 12-7-2006

cachas · Mensaje por **cachas** » 13 Jul 2006, 22:27

¿Habeis revisado el correo que os envié?

Mensaje por **msc hotline sat** » 14 Jul 2006, 05:15

No me han comentado haber recibido ningun mail con referencia "REF cachas", pero mañana lo buscaremos (se reciben cientos de mails diarios por no decir miles si incluimos los de basura !)

Sobre todo dirigelo a zonavirus@satinfo.es e indica la referencia en cuestion !!!

saludos

ms, 14-7-2006

Mensaje por **msc hotline sat** » 14 Jul 2006, 10:14

Verificado que no ha entrado ningun mail con referencia REF CACHAS en la cuenta zonavirus@satinfo.es

A ver si no le salen los mails que quiere enviar !!!

revise sus envios y devoluciones de este en particular

saludos

ms, 14-7-2006

cachas · Mensaje por **cachas** » 16 Jul 2006, 19:17

Os he enviado lo que me pedis desde otra cuenta de correo, ya que creo que efectivamente no me deja enviar nada.

Mensaje por **msc hotline sat** » 16 Jul 2006, 20:57

Mañana, cuando volvamos al trabajo lo revisaremos

saludos

ms, 16.7.2006