AYUDA POR FAVOR (SOLUCIONADO)

[PRAXIS84]

hola soy nuevo en esto y tengo dos problemas el primero es que en el msn cada vez que abro una ventana se auto manda un mensaje que invita a una pagina, pera ver nose ya q no abre nada y se instala solo un autoejecutable llamado "foto12" ya lo elimene del registro y todo y no pasa nada que puedo hacer?

y lo otro es que cuando pierdo la conexion a internet aparece error en el svchost y luego de poner aceptar o cancelar me aparece el cuadro q se reinicia el windows en un 1 minuto.



desde ya muchas gracias

[msc hotline sat]

Por un lado si tienes este fichero FOTO12.EXE, envianoslo y lo controlaremos con las proximas versiones del ELISTARA

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.


Aparte, posteanos log del HJT y lo analizaremos_


HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Cuando lo hayamos analizado te indicaremos como proceder

saludos

ms. 23-8-2006

[PRAXIS84]

aca les mando todo lo q me pidieron y ya mande un mail con el programa foto12.exe

Logfile of HijackThis v1.99.1
Scan saved at 8:52:08, on 23/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\asuskbservice.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\anvshell.exe
C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe
C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\windows\findx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Cliente\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.infobae.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [MicroSys-CheckAjour] C:\Archivos de programa\Micro-Sys Software\Ajour\ChkAjour.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [win32Kernel] c:\windows\findx.exe
O8 - Extra context menu item: Abrir imagen en &Microsoft PhotoDraw - res://C:\ARCHIV~1\MI5E3E~1\Office\3082\phdintl.dll/phdContext.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6163BE2C-F58D-4854-9109-637CB105F0E5}: NameServer = 200.45.191.35 200.45.191.40
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: ldr64 - ldr64.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINDOWS\asuskbservice.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[flacoroo]

elimina estas claves.....

Código: Seleccionar todo

C:\WINDOWS\system32\CTHELPER.EXE 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.infobae.com/ 
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 

es lo unico que le pude encontrar.....nos dices como te fue.....

[msc hotline sat]

Elimina tambien esta clave:
O20 - Winlogon Notify: ldr64 - ldr64.dll (file missing)

Conoces estas aplicaciones:
O4 - HKCU\..\Run: [MicroSys-CheckAjour] C:\Archivos de programa\Micro-Sys Software\Ajour\ChkAjour.exe
O4 - HKCU\..\Run: [win32Kernel] c:\windows\findx.exe
O8 - Extra context menu item: Abrir imagen en &Microsoft PhotoDraw - res://C:\ARCHIV~1\MI5E3E~1\Office\3082\phdintl.dll/phdContext.htm

en funcion de ello, obra en consecuencia

saludos
ms, 24-8-2006

Nota: y si usas el messenger, yo no borrarìa la clave del CTFMON, posiblemente flacoroo no pensó en ello.

Sobre el otro que menciona flacoroo, "es el administrador de plug-ins para controladores de Creative y si funcionara correctamente quizás sería preferible dejarlo habilitado o se pueden perder algunas de las funciones relacionadas con el sonido, pero suele mas bien crear problemas a saco y disparar el uso del CPU al 100% así que no merece la pena dejarlo activado." Aparte, algun RBOT lo usa como nombre de su gusano, aunque por el valor de la clave no sea este el caso, pero puede borrarlo aunque no sea virus.

[Rosanna]

Hola soy nueva en el foro pero la necesidad me ayudo a entrar a este foro, borre el mismo archivo el foto12.exe el msn esta loco, ya lei las repuestas que han dado, genere el archivo Hijackthis y med io esto pero nose que tengo que borrar:
ayuda porfavor gracias de anetemano
Logfile of HijackThis v1.99.1
Scan saved at 09:24:09 p.m., on 28/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\LPerri\CiberControl 5.0 PRO\Control.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Personal\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1 
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DA4E7F3-775C-48DC-AD70-2106A8B0C167}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAC9121B-4A1D-4C0C-8BAD-E8374F599BE2}: NameServer = 200.44.32.12 200.44.32.13
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DA4E7F3-775C-48DC-AD70-2106A8B0C167}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DA4E7F3-775C-48DC-AD70-2106A8B0C167}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

[msc hotline sat]

Bueno Rosanna, en ninguna parte decimos que se borre este fichero, sino que se nos envie muestra del mismo...

Lastima que no lo hayas hecho, pues borrandolo no podemos saber lo que había en él y hacía para controlarlo con nuestras utilidades

To log esta limpio.

Entndemos que nadie nace enseñado, pero que te sirva de experiencia...

El virus o lo que tengas no aparece en el log del HJT

sobre el FOTO12.exe en el google

[msc hotline sat]

Bueno Rosanna, en ninguna parte decimos que se borre este fichero, sino que se nos envie muestra del mismo...

Lastima que no lo hayas hecho, pues borrandolo no podemos saber lo que había en él y hacía para controlarlo con nuestras utilidades

To log esta limpio

Entndemos que nadie nace enseñado, pero que te sirva de experiencia...

El virus o lo que tengas no aparece en el log del HJT

Cuentanos tus progresos, gracias

saludos
ms, 29-8-2006

[colo256]

Uhh bue soy otro de los tantos con el mismo problema ojala alguien me ayude por q me tiene podrido esto y no soy el unico q uso el computador

Esto es lo q me aparece a mi espero me puedan ayudar ... gracias...

GRACIAS

Logfile of HijackThis v1.99.1
Scan saved at 13:50:21, on 29/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\ARCHIV~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
C:\Archivos de programa\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\eMule\emule.exe
C:\windows\findx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ping.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe
C:\Archivos de programa\Grisoft\AVG7\avgcc.exe
C:\Archivos de programa\lperri\CiberControl 4.0 PRO\Control.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\HackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://latam.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL
O1 - Hosts: 62.75.224.159 http://www.bns1.net
O1 - Hosts: 62.75.224.159 http://www.bns2.net
O1 - Hosts: 62.75.224.159 http://www.bns3.net
O1 - Hosts: 62.75.224.159 http://www.bns4.net
O1 - Hosts: 62.75.224.159 http://www.bns5.net
O1 - Hosts: 62.75.224.159 http://www.bns6.net
O1 - Hosts: 62.75.224.159 http://www.bns7.net
O1 - Hosts: 62.75.224.159 http://www.bns8.net
O1 - Hosts: 62.75.224.159 http://www.cms1.net
O1 - Hosts: 62.75.224.159 http://www.cms2.net
O1 - Hosts: 62.75.224.159 http://www.cms3.net
O1 - Hosts: 62.75.224.159 http://www.cms4.net
O1 - Hosts: 62.75.224.159 http://www.cms5.net
O1 - Hosts: 62.75.224.159 http://www.cms6.net
O1 - Hosts: 62.75.224.159 http://www.cms7.net
O1 - Hosts: 62.75.224.159 http://www.cms8.net
O1 - Hosts: 62.75.224.159 http://www.rg1.com
O1 - Hosts: 62.75.224.159 http://www.rg2.com
O1 - Hosts: 62.75.224.159 http://www.rg3.com
O1 - Hosts: 62.75.224.159 http://www.rg4.com
O1 - Hosts: 62.75.224.159 http://www.rg5.com
O1 - Hosts: 62.75.224.159 http://www.rg6.com
O1 - Hosts: 62.75.224.159 http://www.rg7.com
O1 - Hosts: 62.75.224.159 http://www.rg8.com
O1 - Hosts: 62.75.224.159 http://www.cjt1.net
O1 - Hosts: 62.75.224.159 http://www.rgs1.net
O1 - Hosts: 62.75.224.159 http://www.rgs2.net
O1 - Hosts: 62.75.224.159 http://www.bns1.net
O1 - Hosts: 62.75.224.159 http://www.bns2.net
O1 - Hosts: 62.75.224.159 http://www.cms1.net
O1 - Hosts: 62.75.224.159 http://www.cms2.net
O1 - Hosts: 62.75.224.159 bns1.net
O1 - Hosts: 62.75.224.159 bns2.net
O1 - Hosts: 62.75.224.159 bns3.net
O1 - Hosts: 62.75.224.159 bns4.net
O1 - Hosts: 62.75.224.159 bns5.net
O1 - Hosts: 62.75.224.159 bns6.net
O1 - Hosts: 62.75.224.159 bns7.net
O1 - Hosts: 62.75.224.159 bns8.net
O1 - Hosts: 62.75.224.159 cms1.net
O1 - Hosts: 62.75.224.159 cms2.net
O1 - Hosts: 62.75.224.159 cms3.net
O1 - Hosts: 62.75.224.159 cms4.net
O1 - Hosts: 62.75.224.159 cms5.net
O1 - Hosts: 62.75.224.159 cms6.net
O1 - Hosts: 62.75.224.159 cms7.net
O1 - Hosts: 62.75.224.159 cms8.net
O1 - Hosts: 62.75.224.159 rg1.com
O1 - Hosts: 62.75.224.159 rg2.com
O1 - Hosts: 62.75.224.159 rg3.com
O1 - Hosts: 62.75.224.159 rg4.com
O1 - Hosts: 62.75.224.159 rg5.com
O1 - Hosts: 62.75.224.159 rg6.com
O1 - Hosts: 62.75.224.159 rg7.com
O1 - Hosts: 62.75.224.159 rg8.com
O1 - Hosts: 62.75.224.159 cjt1.net
O1 - Hosts: 62.75.224.159 rgs1.net
O1 - Hosts: 62.75.224.159 rgs2.net
O1 - Hosts: 62.75.224.159 bns1.net
O1 - Hosts: 62.75.224.159 bns2.net
O1 - Hosts: 62.75.224.159 cms1.net
O1 - Hosts: 62.75.224.159 cms2.net
O1 - Hosts: 62.75.224.159 j800banners.cjt1.net
O1 - Hosts: 62.75.224.159 jadlogix.cjt1.net
O1 - Hosts: 62.75.224.159 jadtegrity.cjt1.net
O1 - Hosts: 62.75.224.159 jaimmedia.cjt1.net
O1 - Hosts: 62.75.224.159 javatar.cjt1.net
O1 - Hosts: 62.75.224.159 jbeet.cjt1.net
O1 - Hosts: 62.75.224.159 jbigpops.cjt1.net
O1 - Hosts: 62.75.224.159 jbouncetek.cjt1.net
O1 - Hosts: 62.75.224.159 jbravenet.cjt1.net
O1 - Hosts: 62.75.224.159 jcdcover.cjt1.net
O1 - Hosts: 62.75.224.159 jclickspring.cjt1.net
O1 - Hosts: 62.75.224.159 jcollegehumor.cjt1.net
O1 - Hosts: 62.75.224.159 jdownloadacc.cjt1.net
O1 - Hosts: 62.75.224.159 jedonkey.cjt1.net
O1 - Hosts: 62.75.224.159 jeuniverse.cjt1.net
O1 - Hosts: 62.75.224.159 jhot.cjt1.net
O1 - Hosts: 62.75.224.159 jicmedia.cjt1.net
O1 - Hosts: 62.75.224.159 jicq.cjt1.net
O1 - Hosts: 62.75.224.159 jieplugin.cjt1.net
O1 - Hosts: 62.75.224.159 jinternetoptimizer.cjt1.net
O1 - Hosts: 62.75.224.159 jmediabuy1.cjt1.net
O1 - Hosts: 62.75.224.159 jmediabuyad.cjt1.net
O1 - Hosts: 62.75.224.159 jmindset.cjt1.net
O1 - Hosts: 62.75.224.159 jmindsettest.cjt1.net
O1 - Hosts: 62.75.224.159 jnictech.cjt1.net
O1 - Hosts: 62.75.224.159 jnova.cjt1.net
O1 - Hosts: 62.75.224.159 jpiolet.cjt1.net
O1 - Hosts: 62.75.224.159 jsanboxer.cjt1.net
O1 - Hosts: 62.75.224.159 jsercee.cjt1.net
O1 - Hosts: 62.75.224.159 jthedelfin.cjt1.net
O1 - Hosts: 62.75.224.159 jwarezp2p.cjt1.net
O1 - Hosts: 62.75.224.159 jwildmedia.cjt1.net
O1 - Hosts: 62.75.224.159 mediabuy-nic.cjt1.net
O1 - Hosts: 62.75.224.159 http://www.m7z.net
O1 - Hosts: 62.75.224.159 m7z.net
O1 - Hosts: 62.75.224.159 jcms.cydoor.com
O1 - Hosts: 62.75.224.159 cydoor.com
O1 - Hosts: 62.75.224.159 http://www.cydoor.com
O1 - Hosts: 62.75.224.159 jnova.cjt1.net
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {031F120A-BBAF-45d8-B306-375F2A6B9398} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Archivos de programa\MyWebSearch\bar\3.bin\MWSBAR.DLL
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet7_22.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\ARCHIV~1\MASSDO~1\MDHELPER.DLL (file missing)
O2 - BHO: (no name) - {B932F223-4250-7928-1A43-F9ACC8651254} - (no file)
O3 - Toolbar: (no name) - {1CE4EE89-2D5C-4361-AF3B-D902AB545381} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [WhenUSearchWHSE] "C:\Archivos de programa\WhenUSearch\whse.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\ARCHIV~1\MYWEBS~1\bar\3.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
O4 - HKLM\..\Run: [SystemDoctor 2006 Free] C:\Archivos de programa\SystemDoctor 2006 Free\sd2006.exe -scan
O4 - HKLM\..\Run: [OpwareSE2] "C:\Archivos de programa\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKCU\..\Run: [WhenUSave] "C:\Archivos de programa\Save\Save.exe"
O4 - HKCU\..\Run: [Warez P2P Acceleration Patch] C:\Documents and Settings\All Users\Menú Inicio\Programas\Warez P2P Acceleration Patch\Warez P2P Acceleration Patch.lnk
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Exstora] C:\Archivos de programa\Exstora\Exstora.exe
O4 - HKCU\..\Run: [win32Kernel] c:\windows\findx.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart
O4 - HKCU\..\RunOnce: [remititit5195] C:\WINDOWS\system32\command.com /c del C:\DOCUME~1\Server\DATOSD~1\CAKEDU~1\21536.del
O4 - HKCU\..\RunOnce: [remititit30489] C:\WINDOWS\system32\command.com /c del C:\DOCUME~1\Server\DATOSD~1\CAKEDU~1\21536.del
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZS
O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Descargar &Todo usando Mass Downloader - C:\Archivos de programa\Mass Downloader\Add_All.htm
O8 - Extra context menu item: Descargar usando &Mass Downloader - C:\Archivos de programa\Mass Downloader\Add_Url.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/FunBuddyIconsFWBInitialSetup1.0.0.15.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4048FD51-6094-4BF6-9EC1-933B3C295F42}: NameServer = 216.104.64.5,216.104.72.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{4048FD51-6094-4BF6-9EC1-933B3C295F42}: NameServer = 216.104.64.5,216.104.72.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{4048FD51-6094-4BF6-9EC1-933B3C295F42}: NameServer = 216.104.64.5,216.104.72.5
O17 - HKLM\System\CS3\Services\Tcpip\..\{4048FD51-6094-4BF6-9EC1-933B3C295F42}: NameServer = 216.104.64.5,216.104.72.5
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[msc hotline sat]

Se le acaba de decir a Rosaanna, pero no deben postearse en un mismo Tema post de mas de un ordenador:

Pero ademas tu log no está limpio . Pocas veces he visto uno mas "sucio" !!!

Abre un nuevo Tema y empieza por el principio:


saludos

ms. 29-8-2006

[ANGELICALUNALLANERA]

HOLA A TODOS

ES UN GUSTO CONOCERLOS AUNQUE HUBIERA PREFERIDO NO HABER TENIDO ESTE INCONVENIENTE CON MI PC CON ESTE DICHO FOTO12.EXE Y CONOCERLOS SIN TANTA PRESION COMO ES EL TENER UN VIRUS EN TU PC.

SOY NUEVA EN ESTAS CUSESTIONES DE LA VIROLOGIA INFORMATICA LES AGRADECERIA SU AYUDA PARA SALIR DE ESTE PROBLEMITA CON MI EL INDESEABLE VIRUS

GRACIAS POR SU AYUDA

DIOS LES BENDIGA Y GUARDE.

P.D. POR EMAIL ENVIE LO QUE ME DIJERON OKIS

BENDICIONES

JAZMIN ANGELICA GARCIA CASTRO



Logfile of HijackThis v1.99.1
Scan saved at 17:33:35, on 29/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Excalibur-Cliente\lsass.exe
C:\Archivos de programa\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ShellMm.exe
C:\WINDOWS\Excalibur-Cliente\gu.exe
C:\WINDOWS\Excalibur-Cliente\pol.exe
C:\WINDOWS\system32\DrvMon.exe
C:\windows\findx.exe
C:\Archivos de programa\MicroStar\WLANUtility\WlanUtility.exe
C:\TELESUP\CLIENTE\SchedulerTelesup.exe
C:\Archivos de programa\spacenet\Internet Page Accelerator\RPAService.exe
C:\Archivos de programa\SPACENET\Internet Page Accelerator\AS_Agent.exe
c:\sii\bin\siiRcvrSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Borland\InterBase\bin\ibserver.exe
C:\Archivos de programa\MicroStar\WLANUtility\WLAN_Service.exe
C:\WINDOWS\system32\wscntfy.exe
C:\netadmin\Netadmin2.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\palstart.exe
C:\Archivos de programa\Paltalk Messenger\paltalk.exe
C:\Archivos de programa\OpenOffice.org1.1.4\program\soffice.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Archivos de programa\ZipCentral\ZCentral.exe
C:\DOCUME~1\Usuario\CONFIG~1\Temp\_ZCTmp.Dir\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mifono.com.co/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:9877
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Archivos de programa\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Archivos de programa\MySearch\bar\1.bin\S4BAR.DLL
O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\msgr.es.es-la\msntb.dll
O4 - HKLM\..\Run: [SystemShell] ShellMm.exe
O4 - HKLM\..\Run: [IPA] C:\Archivos de programa\spacenet\Internet Page Accelerator\ipasprj.exe
O4 - HKLM\..\Run: [ExcaliburGuard] C:\WINDOWS\Excalibur-Cliente\gu.exe
O4 - HKLM\..\Run: [ExcaliburPolices] C:\WINDOWS\Excalibur-Cliente\pol.exe
O4 - HKLM\..\Run: [Splash98] C:\WINDOWS\Excalibur-Cliente\Splash98.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O4 - HKCU\..\Run: [win32Kernel] c:\windows\findx.exe
O4 - Startup: Compartir.exe.lnk = C:\windows\Compartir.exe
O4 - Global Startup: WlanUtility.lnk = C:\Archivos de programa\MicroStar\WLANUtility\WlanUtility.exe
O4 - Global Startup: Scheduler Telesupervision.lnk = C:\TELESUP\CLIENTE\SchedulerTelesup.exe
O4 - Global Startup: palstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112025639257
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O23 - Service: ExcaliburSrv - Unknown owner - C:\WINDOWS\Excalibur-Cliente\lsass.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Archivos de programa\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Archivos de programa\Borland\InterBase\bin\ibserver.exe
O23 - Service: Liebert MultiLink (LiebertM) - Liebert Corporation - C:\Archivos de programa\MultiLink\bin\LiebertM.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Archivos de programa\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PowerAlert Port Manager Engine - Unknown owner - C:\Archivos de programa\Tripp Lite\PowerAlert\Engine\portmgr.exe
O23 - Service: PowerAlert UPS Engine - Unknown owner - C:\Archivos de programa\Tripp Lite\PowerAlert\Engine\paserver.exe
O23 - Service: PowerAlert Web Engine - Unknown owner - C:\Archivos de programa\Tripp Lite\PowerAlert\Engine\pawebsvr.exe
O23 - Service: RPA Service - Unknown owner - C:\Archivos de programa\spacenet\Internet Page Accelerator\RPAService.exe
O23 - Service: Surecast II Receiver (siiReceiver) - Unknown owner - c:\sii\bin\siiRcvrSvc.exe

[msc hotline sat]

Recbido el fichero FOTO12.EXE de Angélica:

Realmente tiene propiedades de lnk aun con extension EXE, pero su contenido es puramente un Texto inocuo:
"The server made a boo boo."

Ademas, como comprobará el fichero tiene solo 28 bytes, lo que corresponde a su contenido, y en él consecuentemente no hay virus
`
Aparte paso a analizar su log del HJT

en proceso ...

Como que hay michas cosas a comentar y adoleces de que has posteado el log donde ya hay otro y no podemos mantener analisis de mas de un log por Tema.


edita nuevo Tema y postea dicho log (yo no puedo hacerlo porque saldría yo como autor !)
Te responderé en el nuevo, que abras. Mientras voy analizando que tienes mucha tela que cortar ... !!!

hasta luego

saludos

ms, 30-8-2006

[ANGELICALUNALLANERA]

HOLA OTRA VEZ YO

LA VERDAD NO SE MUCHO DE SISTEMAS PERO CREO QUE SI HAY VIRUS PORQUE CUANDO INSTALO EL MSN Y ME CONECTO DESDE EL MSN SALE OTRAVEZ EL MENSAJITO DE QUE VEAN LAS FOTOS Y EN C: ENCUENTRO EL DICHOSO ARCHIVO FOTO12.EXE Y LA DIRECCION QUE SALES ES ESTA ES DECIR ES LA PROCEDENCIA DEL VIRUS

Código: Seleccionar todo

http://WWW.DAP.NTUA.GR/INDEX2.PHP

DESEARIA QUE POR FAVOR ME INDICARAN COMO LO ELIMINO

ANEXO EL ARCHIVO FOTO12.EXE Y DE NUEVO EL LOG

GRACIAS BENDICIONES

jazmin angelica


Logfile of HijackThis v1.99.1
Scan saved at 08:52:23, on 30/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Excalibur-Cliente\lsass.exe
C:\Archivos de programa\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ShellMm.exe
C:\WINDOWS\Excalibur-Cliente\gu.exe
C:\WINDOWS\Excalibur-Cliente\pol.exe
C:\WINDOWS\system32\DrvMon.exe
C:\windows\findx.exe
C:\Archivos de programa\MicroStar\WLANUtility\WlanUtility.exe
C:\TELESUP\CLIENTE\SchedulerTelesup.exe
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\palstart.exe
C:\Archivos de programa\spacenet\Internet Page Accelerator\RPAService.exe
C:\Archivos de programa\SPACENET\Internet Page Accelerator\AS_Agent.exe
c:\sii\bin\siiRcvrSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Borland\InterBase\bin\ibserver.exe
C:\Archivos de programa\MicroStar\WLANUtility\WLAN_Service.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\ZipCentral\ZCentral.exe
C:\DOCUME~1\Usuario\CONFIG~1\Temp\_ZCTmp.Dir\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:9877
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Archivos de programa\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Archivos de programa\MySearch\bar\1.bin\S4BAR.DLL
O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\msgr.es.es-la\msntb.dll
O4 - HKLM\..\Run: [SystemShell] ShellMm.exe
O4 - HKLM\..\Run: [IPA] C:\Archivos de programa\spacenet\Internet Page Accelerator\ipasprj.exe
O4 - HKLM\..\Run: [ExcaliburGuard] C:\WINDOWS\Excalibur-Cliente\gu.exe
O4 - HKLM\..\Run: [ExcaliburPolices] C:\WINDOWS\Excalibur-Cliente\pol.exe
O4 - HKLM\..\Run: [Splash98] C:\WINDOWS\Excalibur-Cliente\Splash98.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O4 - HKCU\..\Run: [win32Kernel] c:\windows\findx.exe
O4 - Startup: Compartir.exe.lnk = C:\windows\Compartir.exe
O4 - Global Startup: WlanUtility.lnk = C:\Archivos de programa\MicroStar\WLANUtility\WlanUtility.exe
O4 - Global Startup: Scheduler Telesupervision.lnk = C:\TELESUP\CLIENTE\SchedulerTelesup.exe
O4 - Global Startup: palstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112025639257
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: ExcaliburSrv - Unknown owner - C:\WINDOWS\Excalibur-Cliente\lsass.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Archivos de programa\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Archivos de programa\Borland\InterBase\bin\ibserver.exe
O23 - Service: Liebert MultiLink (LiebertM) - Liebert Corporation - C:\Archivos de programa\MultiLink\bin\LiebertM.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Archivos de programa\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PowerAlert Port Manager Engine - Unknown owner - C:\Archivos de programa\Tripp Lite\PowerAlert\Engine\portmgr.exe
O23 - Service: PowerAlert UPS Engine - Unknown owner - C:\Archivos de programa\Tripp Lite\PowerAlert\Engine\paserver.exe
O23 - Service: PowerAlert Web Engine - Unknown owner - C:\Archivos de programa\Tripp Lite\PowerAlert\Engine\pawebsvr.exe
O23 - Service: RPA Service - Unknown owner - C:\Archivos de programa\spacenet\Internet Page Accelerator\RPAService.exe
O23 - Service: Surecast II Receiver (siiReceiver) - Unknown owner - c:\sii\bin\siiRcvrSvc.exe

[msc hotline sat]

Contestado a Angelica en:

viewtopic.php?f=5&t=13177

saludos
ms,.

[Mawuein]

Paso 1: Cancela todos los procesos (alt + Control + supr ò delet) foto12.exe, mayormente es findx.exe
PAso 2:Ejecuta msconfig desactiva en el inicio (findx.exe, foto12.exe)
Paso 3: Ejecuta buscar todos los archivos y carpetas en tu ordenador elimina foto12.exe y findx.exe)
Paso 3: Ejecuta Regedit y elimina los archivos foto12.exe y findx.exe.
Paso 4: Desintala tu messenger por completo
Paso 5: Reinicia tu ordenador
Paso 6: Vuelve a instalar tu messenger y listo!! solucionado el pequeño problema con el virus foto12.exe

Nota: Despues de haber realizado todos estos pasos cheka tu ordenador nuevamente para comprobar de que realizastes bien los pasos (estos pasos lo he realizado en WIN XP). O bien puedes utilizar NOD32, lo elimina pero no por completo en todos los sistemas operativos.

[msc hotline sat]

ANTES QUE NADA ENVIANOS EL FICHERO

C:\windows\findx.exe

PARA PODER IMPLEMENTAR SU CONTROL Y ELIMINACION EN NUESTRAS UTILIDADES, PERO NO LO ELIMINES ANTES !!!

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

SALUDOS
ms, 30-8-2006

[msc hotline sat]

Seguimos sin haber recibido el C:\windows\FINDX.EXE en cuestion !!!

Es necesario que nos lo envien para implementar el control y eliminacion del FOTO12 en nuestras utilidades y asi poder eliminarlo facilmente.

A cualquiera que lo tenga y nos lo pueda enviar, qiue lo anexe a un mail a zonavirus@satinfo.es

saludos
ms, 31-8-2006

[ANGELICALUNALLANERA]

SEÑORES ZONA VIRUS

REALMENTE AGRADEZCO SU AYUDA

ESTE ARCHIVO ES EL QUE ESTA CONTAMINADO LUEGO NO LO PUEDO ENVIAR HICE LO QUE ME SUGERISTE Y YA LOGRE ELIMINARLO Y SI ESA ERE EL VIRUS
>
> GRACIAS POR SU AYUDA ME FUE MUY UTIL PARA DESACERME DE ESE MOLESTO VIRUS
>
> DIOS LES BENDIGA
>
> ANGELICA GARCIA CASTRO

RECIBAN UN SALUDO DE COLOMBIA

[msc hotline sat]

Pues con eso se pierde que podamos ayudar a otros afectados o a Vd si en el futuro se encuentra en el mismo caso !

Ya sabemos que el FINDX.EXE contenía el virus, por eso se lo pedíamos !!! Y era tan facil como desactivar el antivirus para enviarnoslo !!! (como en tantos casos se ha indicado)

Si otro usuario lo tiene, (el FINDFX.EXE, relativo al FOTO12) que nos lo envié y así podremos implementar su control y eliminación en nuestras utilidades, gracias

y para Angelica, solucionado su problema, procedemos a cerrar el Tema

saludos
ms, 2-9-2006

[msc hotline sat]

Como que en este Tema se pedía el fichero FINDX.exe y hoy lo hemos recibido, se ha implementado su control y eliminación en el ELISTARA de hoy

saludos
ms, 20-09-2006