Posible Virus

Gramos · Mensaje por **Gramos** » 23 Jul 2006, 21:17

Hola:

Me comunico a este foro para preguntar sobre un posible virus

No se si sea nuevo o viejo. Un amigo se conectó al Msn Messenger y al intentar hablar con el me dijo que posiblemente tenia un virus ya que la imagen para mostrar se cambiaba automaticamente y le salía un mensage supuestamente enviado por mi que le decia que mirara una imagen, sin embargo no tenia forma de ver la supuesta imagen ya que la ventana del messenger se modificaba y no podía escribir o dar click en nada.

En mi maquina no pasó nada en ese momento pero despues se abrió una conversación compartida con algunos de mis contactos pero al parecer ellos estaba hablando incoherencias además de que la ventana se movia de un lado a otro, como en un zumbido, sin aparecer el aviso del mismo.

Si alguien me puede ayudar se lo agradezco. :wink:

Tengo el AVG actualizado y no detecta nada, tambien use elad-aware y el a squared.

Gracias

Gramos :shock:

Mensaje por **msc hotline sat** » 23 Jul 2006, 21:27

PUES ENSEGUIDA LANCEN UN ANTIVIRUS ONLINE:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

e informennos del resultado, URGENTEMENTE, ya que algunos de los virus que se transmiten a traves de los mensajes del messenger tienen payload destructivo al cabo de 4 dias !!!

En su defecto, indiquenos el nombre del fichero que aparecia en estos mensajes

saludos

ms, 23-7-2006

Gramos · Mensaje por **Gramos** » 23 Jul 2006, 23:35

Ya corrí el antivirus que recomendaste y detectó java/Byte Verify! Exploit

No se porque no creo que sea la causa de lo que pasó

En cuanto al nombre del archivo que me pides, en mi maquina no apareció ningun nombre y en la de mi amigo tampoco, solo decía un mensaje que viera las imagenes

Gramos 8)

Mensaje por **msc hotline sat** » 24 Jul 2006, 07:52

Pues actualiza los parches de microsoft, ya que el Byte Verify entra por falta de ellos, y arrancando en modo seguro lo eliminas con tu antivirus

Y tras reiniciar, prueba de nuevo

y sobre el mensaje del messenger, "solo decía un mensaje que viera las imagenes " qué imagenes ???, unas fotos ??? un video ??? cual era su nobre ???

Es muy importante para no verse afectado si fuera el caso !!!

saludos

ms, 24-7-2006

nota: Tenga presente que algunos antivirus todavia no detectan alguna variante al respecto:

https://foros.zonavirus.com/una-nueva-variante-del-fantasmaavizip-no-controlada-vt12603.html

Gramos · Mensaje por **Gramos** » 24 Jul 2006, 14:36

Trataré de explicarme mejor:

Al enviarle un mensaje a mi amigo, me respondio que parecia que tenia un virus y me hablo por telefono para que le ayudara.

Me comentó que en su maquina, cuando hablaba con alguien la imagen a mostrar de la persona se cambiaba sola, apareciendo una imagen como de contactos (en la imagen para mostrar) y un mensaje que decia mira la imagen, pero segun le entendí no venia con algun archivo.

Me comentó que al querer preguntar por que imagen, no tenia forma de hacerlo ya que desaparecía el area donde escribes el mensaje y tenia que cerrar la conversación.

Mientras hablabamos por teléfono, a mi me aparecio una ventana de conversación compartida pero no entendia lo que me escribian ya que aparecian signos y no palabras y efectivamente la imagen a mostrar tenia una lista de contactos, no se si por estar compartida la conversacion o por otra causa. Por si las dudas cerre el mensajero y me puse a investigar en internet dando con su foro que ha sido de gran ayuda y espero poder colaborar con mi informacion para ayudar a otros :D

Por otro lado, las actualizaciones de parches de Windows estan al dia, ya que tengo las actuaqlizaciones automáticas y cuando observo que en varios dias no se "baja" alguna, corro el windows update, el unico que no he querido instalar es el verificacion de autenticidad, ya que lei por ahi que podia causar problemas

Gramos :roll:

Mensaje por **msc hotline sat** » 25 Jul 2006, 09:29

Pues si no se trata de ningun fichero enviado en algun mensaje, se aparta de los virus conocidos de mesenger, pudiendo ser degradacion de uno de los messengers que intervienen o jackeo del mismo, que de haberlos hailos...

Como que parece que el causante es su amigo, more de postearnos el log del HJT del ordenador de su amigo, y lo analizariamos por si vieramos una posible causa, o que su amigo postee en Tema aparte y nos postee su log de HJT y asi poder postear Vd el suyo aqui, pues no se aceptan logs de diferentes ordenadores en un mismo Tema

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

saludos

ms, 25-7-2006

Gramos · Mensaje por **Gramos** » 25 Jul 2006, 23:52

Bien pondre el hijackthis de la computadora de mi amigo como nuevo tema le pondre de titulo seguimiento posible virus

Gracias

Mensaje por **msc hotline sat** » 26 Jul 2006, 14:05

Y como respuesta a este pon el tuyo.

saludos

ms

Gramos · Mensaje por **Gramos** » 26 Jul 2006, 22:32

Logfile of HijackThis v1.99.1

Scan saved at 03:36:02 p.m., on 26/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\HP\hpcoretech\comp\hptskmgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f010.mail.lycos.es/app/uploader/FileUploader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

Mensaje por **msc hotline sat** » 27 Jul 2006, 06:36

Este log está completamente limpio !!!

saludos

ms, 27-7-2006

Posible Virus

Posible Virus

Informando

Explicación

Hijackthis