postear mi logh porfa

[ANGELICALUNALLANERA]

hola a todos de nuevo

aun tengo problemas HOLA OTRA VEZ YO

LA VERDAD NO SE MUCHO DE SISTEMAS PERO CREO QUE SI HAY VIRUS PORQUE CUANDO INSTALO EL MSN Y ME CONECTO DESDE EL MSN SALE OTRAVEZ EL MENSAJITO DE QUE VEAN LAS FOTOS Y EN C: ENCUENTRO EL DICHOSO ARCHIVO FOTO12.EXE Y LA DIRECCION QUE SALES ES ESTA ES DECIR ES LA PROCEDENCIA DEL VIRUS

DESEARIA QUE POR FAVOR ME INDICARAN COMO LO ELIMINO

ANEXO EL ARCHIVO FOTO12.EXE Y DE NUEVO EL LOG

GRACIAS BENDICIONES

jazmin angelica


Logfile of HijackThis v1.99.1
Scan saved at 08:52:23, on 30/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Excalibur-Cliente\lsass.exe
C:\Archivos de programa\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ShellMm.exe
C:\WINDOWS\Excalibur-Cliente\gu.exe
C:\WINDOWS\Excalibur-Cliente\pol.exe
C:\WINDOWS\system32\DrvMon.exe
C:\windows\findx.exe
C:\Archivos de programa\MicroStar\WLANUtility\WlanUtility.exe
C:\TELESUP\CLIENTE\SchedulerTelesup.exe
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\palstart.exe
C:\Archivos de programa\spacenet\Internet Page Accelerator\RPAService.exe
C:\Archivos de programa\SPACENET\Internet Page Accelerator\AS_Agent.exe
c:\sii\bin\siiRcvrSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Borland\InterBase\bin\ibserver.exe
C:\Archivos de programa\MicroStar\WLANUtility\WLAN_Service.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\ZipCentral\ZCentral.exe
C:\DOCUME~1\Usuario\CONFIG~1\Temp\_ZCTmp.Dir\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:9877
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Archivos de programa\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Archivos de programa\MySearch\bar\1.bin\S4BAR.DLL
O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\msgr.es.es-la\msntb.dll
O4 - HKLM\..\Run: [SystemShell] ShellMm.exe
O4 - HKLM\..\Run: [IPA] C:\Archivos de programa\spacenet\Internet Page Accelerator\ipasprj.exe
O4 - HKLM\..\Run: [ExcaliburGuard] C:\WINDOWS\Excalibur-Cliente\gu.exe
O4 - HKLM\..\Run: [ExcaliburPolices] C:\WINDOWS\Excalibur-Cliente\pol.exe
O4 - HKLM\..\Run: [Splash98] C:\WINDOWS\Excalibur-Cliente\Splash98.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O4 - HKCU\..\Run: [win32Kernel] c:\windows\findx.exe
O4 - Startup: Compartir.exe.lnk = C:\windows\Compartir.exe
O4 - Global Startup: WlanUtility.lnk = C:\Archivos de programa\MicroStar\WLANUtility\WlanUtility.exe
O4 - Global Startup: Scheduler Telesupervision.lnk = C:\TELESUP\CLIENTE\SchedulerTelesup.exe
O4 - Global Startup: palstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112025639257
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: ExcaliburSrv - Unknown owner - C:\WINDOWS\Excalibur-Cliente\lsass.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Archivos de programa\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Archivos de programa\Borland\InterBase\bin\ibserver.exe
O23 - Service: Liebert MultiLink (LiebertM) - Liebert Corporation - C:\Archivos de programa\MultiLink\bin\LiebertM.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Archivos de programa\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PowerAlert Port Manager Engine - Unknown owner - C:\Archivos de programa\Tripp Lite\PowerAlert\Engine\portmgr.exe
O23 - Service: PowerAlert UPS Engine - Unknown owner - C:\Archivos de programa\Tripp Lite\PowerAlert\Engine\paserver.exe
O23 - Service: PowerAlert Web Engine - Unknown owner - C:\Archivos de programa\Tripp Lite\PowerAlert\Engine\pawebsvr.exe
O23 - Service: RPA Service - Unknown owner - C:\Archivos de programa\spacenet\Internet Page Accelerator\RPAService.exe
O23 - Service: Surecast II Receiver (siiReceiver) - Unknown owner - c:\sii\bin\siiRcvrSvc.exe

[msc hotline sat]

Te tenía preparado el post:

Para Angelica:
Empieza por envianos muestra, como ya sabes, de :

C:\WINDOWS\Excalibur-Cliente\lsass.exe

y a continuacion renombra este fichero a .VIR , pero ojo, no el de la carpeta de sistema !!!

Tambien envianos muestra de estos, pero, de momento, no hagas nada mas con ellos:
C:\WINDOWS\system32\ShellMm.exe
C:\WINDOWS\Excalibur-Cliente\gu.exe
C:\WINDOWS\Excalibur-Cliente\pol.exe

Envianos tambien este, que no sabemos si es lo que aparenta:
C:\windows\findx.exe

Envíanos también estos dos, que parecen ser del adware paltalk
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\palstart.exe
C:\Archivos de programa\Paltalk Messenger\paltalk.exe


Tambien envianos este C:\Archivos de programa\ZipCentral\ZCentral.exe y lo analizaremos..., pero si lo has instalado y sabes si es una herramientas para hacer ZIP no hace falta.

Este otro está claro que es un malware: por sus dos claves de carga
C:\Archivos de programa\MySearch\bar\1.bin\S4BAR.DLL

envianoslo para que incluyamos su control en el ELISTARA


Y finalmente envianos estos otros dos sospechosos:
c:\windows\findx.exe
C:\windows\Compartir.exe

Y luego puedes eliminar de momento estas claves:
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Archivos de programa\MySearch\bar\1.bin\S4BAR.DLL
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Archivos de programa\MySearch\bar\1.bin\S4BAR.DLL
O23 - Service: ExcaliburSrv - Unknown owner - C:\WINDOWS\Excalibur-Cliente\lsass.exe

Recuerda:

PARA EL ENVIÓ DE MUESTRAS:
Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Y PARA ELIMINACIÓN DE CLAVES CON HJT
Lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:

Tras recibir las muestras las analizaremos e implementaremos su control y eliminacion de los nuevos malwares en nuestras utilidades, de lo cual informaremos en el foro


saludos
ms, 30-8-2006

[ahi]

tienes una barra de herramientas en el I.E. q es un spyware!
elimina estas claves:(lanzas el hijack this le das a os cuadraditos de al lado de las claves y le das a fix checked):

O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Archivos de programa\MySearch\bar\1.bin\S4BAR.DLL
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Archivos de programa\MySearch\bar\1.bin\S4BAR.DLL

"compartir.exe???" conoces ese programa?? esta en C:WINDOWS
otro programa desconocido:"schedulertelesup.exe"
y otro:"excalibur cliente" mira a ver si los conoces.

[msc hotline sat]

Si bien todas las muestras que te pedimos son importantes, por lo dicho en otros Temas la madre del cordero está en el findx.exe, del que ya decimos:

"Envianos tambien este, que no sabemos si es lo que aparenta:
C:\windows\findx.exe "

Pues como nos temiamos, hay gato encerrado...
Tan pronto nos envies la muestra, obraremos en consecuencia, gracias

saludos
ms, 30-8-2006

[msc hotline sat]

Hemos recibido tuyo un FOTO12.exe pero no el FINDX.EXE que es el que mas necesitamos ...



Por si lo elimina algun antivirus, empaquetelo en un ZIP con password "VIRUS" y repite el envio, gracias



saludos

ms, 31-8-2006

[msc hotline sat]

Como que en este Tema se pedia el fichero FINDX.exe y hoy lo hemos recibido, se ha implementado su control y eliminacion en el ELISTARA de hoy:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 20-09-2006