eliminar virusburst (SOLUCIONADO)

pipeknio · Mensaje por **pipeknio** » 10 Sep 2006, 03:28

necesito ayuda para eliminar este maldito espia de la computadore o tambien pueden enviar el codigo del programa XoftSpySE .PORFAVOR AYUDENME

Mensaje por **msc hotline sat** » 10 Sep 2006, 09:26

Pruebe el ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 10-9-2006

pipeknio · Mensaje por **pipeknio** » 10 Sep 2006, 15:58

he probado 2 veces con elitstara 4 con Ad-aware SE personal

con panda !!!!! no se q hacer!!!!

con el XoftSpySE me falta el codigo que certifica que lo compre para poder eliminarlo ..... necesito ese codigo de programa u otra solucion porfavor :......... este virusburst me tlene loco

pipeknio · Mensaje por **pipeknio** » 10 Sep 2006, 16:38

ya no me aparece la ventana que arroja que hay un virus en el pc pero la pagina de inicio esta establecida todabia en la de la compañia que me ofrecia el antivirus!!! que hago para comprobar que se fue por completo de mi pc ese maldito spyware!!!!!!

gracias por la ayuda!!!! :D

Mensaje por **msc hotline sat** » 10 Sep 2006, 19:04

Parece que el malware está eliminado, pero posteenos el log del HjT para eliminar los restos:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

saludos

ms, 10-9-2006

pipeknio · Mensaje por **pipeknio** » 10 Sep 2006, 21:32

parece que no se habia ido de la computadora por que al reiniciar el pc volvio a aparecer ~~[b]~~critical error sistem

[/b]gracias por la paciencia

Logfile of HijackThis v1.99.1

Scan saved at 15:31:45, on 10/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\iCodecPack\isamonitor.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\iCodecPack\isamini.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\DOCUME~1\RUIZMO~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http//www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http//www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Archivos de programa\iCodecPack\isaddon.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Archivos de programa\iCodecPack\iesplugin.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [RaidTool] C:\Archivos de programa\VIA\RAID\raid_to

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Disk Monitor] C:\Archivos de programa\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [EPSON Stylus C43 Series (Copiar 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE /P34 "EPSON Stylus C43 Series (Copiar 1)" /O6 "USB001" /M "Stylus C43"

O4 - HKLM\..\Run: [EPSON Stylus C43 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE /P23 "EPSON Stylus C43 Series" /O6 "USB001" /M "Stylus C43"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157234497419

O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: considerateness - {4d993022-0899-4599-b4b6-0f887d0802e6} - C:\WINDOWS\system32\oqabf.dll

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

pipeknio · Mensaje por **pipeknio** » 10 Sep 2006, 21:54

ahora pude ejecutar el elistara....me arrojo 2 ficheros infectados en el cuadro blanco de la parte inferior sale

IESPLUGIN.DLL ->Puper (BHO)

ISAMONITOR.EXE->Puper

que hago . no soy muy experto en computacion.....

gracias por responder a todas mis consultas!!!!

pipeknio · Mensaje por **pipeknio** » 10 Sep 2006, 22:12

ejecute el elistara y este es el informe que me dio ...

Sat Sep 09 19:10:45 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Sep 10 09:38:42 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Sep 10 15:43:33 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Sun Sep 10 15:44:20 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\iCodecPack\IESPLUGIN.DLL --> Eliminado, Puper (BHO)

Sun Sep 10 15:59:52 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE

Sun Sep 10 16:00:53 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\iCodecPack\ISAMONITOR.EXE.VIR --> Eliminado, Puper

ahora es solo un fichero el que arroja como infectado

les cuento que la pagina de inicio ya se me reestablecio pero sigue la ventana que dice~~[b]~~critical sistem error![/b]

eso seria

gracias por escuchar a este insistente y desesperado usuario del sitio!!!

novatillo · Mensaje por **novatillo** » 10 Sep 2006, 22:14

Lo primero lanza un windowsupdate se ve que te faltan parches de seguridad.

Aparte prueba a restaurar sistema a un punto anterior a la infeccion a ver si te lo soluciona como le paso a este compañero.

https://foros.zonavirus.com/viewtopic.php?topic=13336

Saludos

Mensaje por **msc hotline sat** » 11 Sep 2006, 07:05

Efectivamente, por lo menos le faltan todos los parches de este año. Debe lanzar un windowsupdate e instalar todos los críticos pendientes.

Y como que el PUPER es un downloader, ha hecho lo propio, descargar troyanos, en esta ocasion "FAKE ALERTS" de los que conocemos y eliminamos muchos, pero que cada día hay de nuevos, como al parecer es su caso

Para tratar de localizarlo y asi proceder en consecuencia, posteenos el contenido del log de HJT:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Lo analizaremos e informaremos

saludos

ms, 11-9-2006

IEN · Mensaje por **IEN** » 11 Sep 2006, 19:48

Ahora tengo este problema con el virusburst chikeen mi log etc..

Logfile of HijackThis v1.99.1

Scan saved at 13:41:09, on 11/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton Internet Security\ISSVC.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

E:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NSMdtr.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cs-ve.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Archivos de programa\iCodecPack\isaddon.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {840900F3-0676-1F54-38B6-7348E9CFE86D} - C:\DOCUME~1\Eduardo\DATOSD~1\WAVETI~1\dentbold.exe (file missing)

O2 - BHO: CBHOBJObj Object - {8A406068-D45C-40B9-A096-38AC717FB608} - C:\WINDOWS\BHOBJ.dll

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ARCHIV~1\FlashFXP\IEFlash.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Archivos de programa\iCodecPack\iesplugin.dll (file missing)

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [mmtask] "E:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [stopmessobjdelete] C:\Documents and Settings\All Users\Datos de programa\Default Draw Stop Mess\aim mess.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Steam] "c:\archivos de programa\steam\steam.exe" -silent

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by20fd.bay20.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: considerateness - {4d993022-0899-4599-b4b6-0f887d0802e6} - C:\WINDOWS\system32\oqabf.dll

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ISSVC.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Ventrilo - Unknown owner - C:\Archivos de programa\VentSrv\ventrilo_svc.exe (file missing)

el ad-aware es una ventana de la barra de herramientas que sigue apareciendo a cada rato.. no se que hacer, ya pude quitar la pagina de inicio del producto e intente eliminar la carpeta del icodec en modo a prueba de fallos pero todavia tengo el ad-aware.. sigue con us propagandas no se como eliminarlo o hacer como dice alli de restaurar el sistema antes de instalar el icodec espero que me puedan ayudar

novatillo · Mensaje por **novatillo** » 11 Sep 2006, 20:05

Preba con elistara y luego posteas el contenido de C:/infosat.txt

ELISTARA.

http://www.zonavirus.com/descargas/elistara.asp

Saludos

Mensaje por **msc hotline sat** » 11 Sep 2006, 20:14

novatillo, en post anteriores ya tenemos el resultado del infosat - elistara 12.31, y se le pidió el log del HJT, que paso a analizar...

ms

IEN · Mensaje por **IEN** » 11 Sep 2006, 20:26

Mon Sep 11 13:27:01 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Sep 11 13:28:08 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\eMule\UNINSTALL.EXE --> AutoExtraible

ok pero el problema es como elimino la propaganda.. no puede ser que no haya aun una solucion para el problema

[img]http://img454.imageshack.us/img454/3346/cegk0.jpg[/img]

[img]http://img454.imageshack.us/img454/3803/ce2gq9.jpg[/img]

Ves quiero eliminar estas propas molestas

Mensaje por **msc hotline sat** » 11 Sep 2006, 20:28

Posiblemente fueron troyanos que descargó el PUPER, como le decíamos ciando kle poedimos el log del HJT

Elimine estas claves:

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Archivos de programa\iCodecPack\isaddon.dll (file missing)

O2 - BHO: (no name) - {840900F3-0676-1F54-38B6-7348E9CFE86D} - C:\DOCUME~1\Eduardo\DATOSD~1\WAVETI~1\dentbold.exe (file missing)

O2 - BHO: CBHOBJObj Object - {8A406068-D45C-40B9-A096-38AC717FB608} - C:\WINDOWS\BHOBJ.dll

O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Archivos de programa\iCodecPack\iesplugin.dll (file missing)

O21 - SSODL: considerateness - {4d993022-0899-4599-b4b6-0f887d0802e6} - C:\WINDOWS\system32\oqabf.dll

O4 - HKLM\..\Run: [stopmessobjdelete] C:\Documents and Settings\All Users\Datos de programa\Default Draw Stop Mess\aim mess.exe

saludos

ms, 11-9-2006

jacotasa · Mensaje por **jacotasa** » 11 Sep 2006, 20:43

Pues parece haber una confusión... Creo que MSC se refiere al infosat - elistara 12.31, pero de "Pipeknio", pero "IEN" ha entrado a este tema con su problema y creo que Novatillo es a él a quien le pide el informe del EliStarA.

¿No es así o soy yo el confundido unicamente?

Por lo que:

~~[b]~~Pipeknio[/b], has lo aconsejado de lanzar el Windows Update, pues ya tu asunto va mas avanzado y una vez hecho eso pues posteas el HJT
[quote="MSC"]Para tratar de localizarlo y asi proceder en consecuencia, posteenos el contenido del log de HJT:[/quote]

IEN, aunque era mas recomendable que abrieras otro tema, si consideraste que tu caso era similar, sigue las recomendaciones que ya se le dieron a [u][i]Pipeknio[/i][/u] y a las que se te vana a dar sobre el HJT que posteaste, pero siempre teniendo en cuenta que son dos usuarios a los que se les está tratando de dar solución.

Mensaje por **msc hotline sat** » 11 Sep 2006, 21:10

Pues tendras razon, jacotasa, porque contesto a veces deprisa sin mirar quien postea, suerte que estais alerta ... :lol:

Espero que queda claro lo que ha de hacer cada uno y sino mejor postear en Tema aparte como se indica para los logs del HJT, para no liarnos !

Porque una cosa es seguir el Tema en el que hay el mismo problema y otro postear en él otro HJT, que está muy claro que no se debia haber hecho, pues ahi está el resultado ...

Recordar:

https://foros.zonavirus.com/aviso-importante-no-mezclar-en-un-tema-logs-de-2-ordenadore-vt6268.html

IEN quedas advertido (Ya habia un HJT posteado en este Tema !!!)

saludos

ms, 11-9-2006

novatillo · Mensaje por **novatillo** » 11 Sep 2006, 21:13

Efectivamente jacotasa es que seguramente msc no se habra dado cuenta de que hay dos en el mismo post y yo le he recomendado elistara a ien y no a pipeknio pero da igual perdonaremos este lapsus a msc :lol: :lol: :lol:

Saludos.

Mensaje por **msc hotline sat** » 11 Sep 2006, 21:27

Sí. pero es que nadie se dio cuenta de que se habia posteado en un mismo tema logs de dos ordenadores, lo cual se debia haber intervenido, pero yo me hago viejo y mis ayudantes no sé en qué piensan ... :lol: :lol: :lol:

ya veis porqué estan las normas ...

saludos

ms,. 11-9-2006

novatillo · Mensaje por **novatillo** » 11 Sep 2006, 21:46

Que razon tienes (sobre tus ayudantes) yo no habia caido en decirle que abriera otro post. :oops: :oops:

Iremos mejorando poco a poco. :lol:

Y no creo que sea que te hagas mayor yo creo que han sido las vacaciones cortas.

Saludos.

Mensaje por **msc hotline sat** » 11 Sep 2006, 21:52

Será el caloooooooor de Valencia, que nos llega hasta aquí ... :lol: :lol: :lol:

saludos y buenas noches, que llaman a cenar !

ms,

jacotasa · Mensaje por **jacotasa** » 11 Sep 2006, 22:07

Mocion de orden (aunque sea función del moderador).

Aclarado que hubo confusión dejemos el tema para lo que fue creado y no lo hagamos mas extenso, pues lo crean o no, para una persona que no cuente con conocimientos de que es lo que hace, le resulta muy dificil seguir instrucciones "A distancia", y si además le agregamos comentarios que no van con su caso, pues es información inecesaria que tiene que procesar... y por no saber si de estos dos foreros sea el caso, mejor les sugiero dejemos la cosa así...

Por lo que "~~[b]~~pipeknio[/b]", esperamos tus avances como respuesta a este tema, y "~~[b]~~IEN[/b]" la lógica es que mejor postees tu HJT en otro tema, dentro del apartado HJT, aunque en él hagas referencia a este, es en aquél donde se te darán instrucciones, para no crear conflictos :lol: .

Saludos y respetuosamente ese es mi aportación al tema.

MSC no es que seas viejo ni que los años hagan estragos en ti, es solo una confusión que se da por no seguir las reglas y por el gran trabajo que haces en el foro (20164 mensajes con un alto sentido de responsabilidad lo confirman). Y cuando te pregunten diles que aunque sabes que no estas muy verde, aún estas prendido a la mata.

pipeknio · Mensaje por **pipeknio** » 11 Sep 2006, 22:59

Logfile of HijackThis v1.99.1

Scan saved at 16:58:08, on 11/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\ARCHIV~1\Yahoo!\MESSEN~1\ymsgr_tray.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\RUIZMO~1\CONFIG~1\Temp\Directorio temporal 2 para hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Archivos de programa\iCodecPack\isaddon.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Archivos de programa\iCodecPack\iesplugin.dll (file missing)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [RaidTool] C:\Archivos de programa\VIA\RAID\raid_to

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Disk Monitor] C:\Archivos de programa\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [EPSON Stylus C43 Series (Copiar 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE /P34 "EPSON Stylus C43 Series (Copiar 1)" /O6 "USB001" /M "Stylus C43"

O4 - HKLM\..\Run: [EPSON Stylus C43 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE /P23 "EPSON Stylus C43 Series" /O6 "USB001" /M "Stylus C43"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157234497419

O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: considerateness - {4d993022-0899-4599-b4b6-0f887d0802e6} - C:\WINDOWS\system32\oqabf.dll

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

porfavor diganme claramente que debo hace ya que no me manejo mucho en computacion!!!!!

descarge un parche de windows update!!! el windows XP-KB921883-x86-ESN

pipeknio · Mensaje por **pipeknio** » 12 Sep 2006, 01:14

descubri al querer eliminar mi explorador de internet, que el virusburst no me deja eliminarlo ya que al parecer se encuentra alojado en este!!!!(corrijanme si no es asi)

antes envie el analisis del hijackthis

por diferencia horaria leo el foro me parece que 6 horas despues que ustedes!!!!(soy de chile)

este malware me tiene alterado !!!! que debo hacer para eliminarlo ya!!!!!

tambien estan los analisis del otro programa recomendado por ustedes!!!!

gracias por la ayuda!!!!!!!!

a demas del foro: alguna otra forma de comunicarme con ustedes???????

gracias!!!

a ante que me olvide!!! recien termine un scaneo del panda y me arrojo lo siguiente:

analizado "mi pc"

detectado desinfectado

virus 0 0

spyware 4 0

herramientas de 1 0

hacking y potencial

mente no deseadas

eso !!!! gracias por la ayuda y la paciencia!!!!!

pipeknio · Mensaje por **pipeknio** » 12 Sep 2006, 01:48

analizando el informe ue me dio panda encontre le lugar donde se localiza el o los malware en mi pc .... los trate de eliminar pero me dice que estan protegidos o se encuentranen uso!!!! los adware que me encontro panda son

adware: C:/Archivos de programa/iCodecPacK/isaddo.......

adware: registro de windows

adware: C:/Archivos de programa/iCodecPacK/isaunin...

Herramientas: C:/Archivos de programa/virus-burst/virus-bur...

adware:C:/documents andsettings/Ruiz Moñoz/conf.....

no se si sirva de algo pero igual lo mando

en la carpeta icodepack pude eliminar varios "programas " pero la principal (isaddon.dll) esta protegida

eso seria todo lo que reporta este deseperado e insistente usuario del foro!!!!!

Mensaje por **msc hotline sat** » 12 Sep 2006, 05:02

Estas dos DLL conviene que nos las envie para analizar y asi implementaremos su control y eliminacion en nuestras utilidades:

C:\Archivos de programa\iCodecPack\isaddon.dll

C:\Windows\System32\oqabf.dll

Y para ello simplemente arranque en modo seguro, lance el HJT y marque la casiulla de la izquierda de esta clave:

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Archivos de programa\iCodecPack\isaddon.dll

y pulse en FIX CHECKED para eliminarla, y tras reiniciar ya podrá enviarnos dicho fichero porque no estará en uso, y si su antivirus lo impide, desactivelo

Y tras enviarla la podrá borrar, aunque ya no estará ya incordiando.

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

Aparte paso a analizar el log del HJT:

Elimine ademas de la arriba indicada, estas otras claves:

O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Archivos de programa\iCodecPack\iesplugin.dll (file missing)

O21 - SSODL: considerateness - {4d993022-0899-4599-b4b6-0f887d0802e6} - C:\WINDOWS\system32\oqabf.dll

y vea esta descripcion del troyano que tiene:

http://www.sophos.com/security/analyses/trojzlobqk.html

saludos

ms, 12-9-2006

IEN · Mensaje por **IEN** » 12 Sep 2006, 05:47

Bueno al parecer investigando un poco se pueden hacer muchas cosas aunque uno sea un inexperto.. aqui les dejo la solucion me ha funcionado perfectamente, i alguien mas tiene este mimo problema aqui estara la solucion:

[url]http://72.14.209.104/search?q=cache:HfhfIbdGrgcJ:www.bleepingcomputer.com/forums/topic63896.html+virusburst&hl=es&gl=ve&ct=clnk&cd=6[/url]

100% efectivo.. y mucho mas facil que eliminar archivo pro archivo sin saber i va a funcionar muchas gracias al admin que responde los post no como en otros lugares que duran un año para una ayuda

pipeknio has el de la primera parte el que neceitas estar conectado a internet, apenas corri el primer programa elimino el problema, aunque segui la guia completa hasta lo del panda activescan para que no hibieran dudas de que se elimino pero el problema esta solucionado pueden cerrar el post eso creo

Mensaje por **msc hotline sat** » 12 Sep 2006, 06:06

La pena es que en ninguno de los dos HJT aparecía la clave que indican eliminar...

O4 - HKLM\..\Run: [VirusBurst] C:\Program Files\VirusBurst\VirusBurst.exe /h

y que las DLL van mutando de nombre, de los que indican varios, pero...

C:\Windows\System32\gtpbx.dll

C:\Windows\System32\duxzj.dll

C:\Windows\System32\xtgwjrm.dll

pero en nuestro caso ha resultado ser:

C:\Windows\System32\oqabf.dll

que ya se ha indicado eliminar, asi que mas vale que analicemos las muestras que nos envien y hagamos la utilidad adecuada, como siempre.

saludos

ms, 12-9-2006

Mensaje por **msc hotline sat** » 12 Sep 2006, 06:39

NOTA:

evidentemente si alguien tiene este fichero, que nos lo envie como muestra para analizarlo y controlarlo !!!:

C:\Program Files\VirusBurst\VirusBurst.exe

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saludos

ms, 12-9-2006

pipeknio · Mensaje por **pipeknio** » 12 Sep 2006, 23:48

realice lo que dijo msc...... y resulto tras lanzar hjt y eliminar las claves de la 3 "carpetas" se fue de mi pc el malware!!!!!!

queres que te envie el resultado del scan de hjt despues de haber aliminado los archivos ?????

bueno eso muchas GRACIAS!!!!! se les agradece a todos!!!!!!

C:\Program Files\VirusBurst\VirusBurst.exe

ese fichero lo elimine ayer asi que no lo puede enviar!!!!

estos archivos los busque pero no los encontre !!!

C:\Archivos de programa\iCodecPack\isaddon.dll

C:\Windows\System32\oqabf.dll

GRACIAS POR LA PACIENCIA!!!!!!!!!!

tema solucionado

PD: en caso que no sea asi cosa que dudo volvere a insistir por el tema!!!!!

GRACIAS!!!!!

eliminar virusburst (SOLUCIONADO)

eliminar virusburst (SOLUCIONADO)

no me resulta!!!!

creo haberlo eliminado.. pero no estoy seguro

bueno!!! aqui esta el analisis

otra consulta sobre lo mismo!!!!

hola de nuevo!!!

Eliminar el ad-aware del virusburst

Pues parece haber una confusión

Mocion de orden

aqui esta mi analisis hijakthis

ok!!!!!!!media confusion

otra vez yo!!!!

alfin!!!!!! gracias!!!!!