VIRUS TRJ/RIZALOF.IJ (SOLUCIONADO)
VIRUS TRJ/RIZALOF.IJ (SOLUCIONADO)
HOLA A TODOS ACABO DE ENCHUFAR EL ORDENADOR Y MI PANDA DICE QUE HA DETECTADO UN VIRUS Y LO HA RENOMBRADO LUEGO LE PASO UN ANALISIS EXAUSTIVO Y ME DETECTA CUATRO ARCHIVOS INFECTADOS ELIMINA 1 Y RENOMBRA SE LO VUELVO A PASAR Y RENOMBRA 3 MAS PERO NO ELIMINA NADA, COMO ELIMINO LOS RENOMBRADOS POR QUE SIGO LA DIRECCIOON Y NO LA ENCUENTRO ESCRIBO EL NOMBRE DEL ARCHIVO EN EL BUSCADOR Y SALE QUE SON ARCHIVOS DE WINDOWS Y NO DE DONDE ME PONIA EL PANDA QUE ESTABAN ¿ QUE HAGO POR QUE YA NO SE COMO ELIMINARLO ?
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Prueba el ELISTARA
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
Y si no lo detecta ni elimina, ni pide muestra, envienos muestra del fichero infectado:
Todas las muestras que pedimos al respecto, nos las puede enviar azonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.
Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.
saludos
ms, 9-9-2006
ELISTARA:
Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
Y si no lo detecta ni elimina, ni pide muestra, envienos muestra del fichero infectado:
Todas las muestras que pedimos al respecto, nos las puede enviar a
Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.
saludos
ms, 9-9-2006

Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
socorro trj/rizalof.ij y trj/looset
he leido vuestra respuesta pero es que el elisa no detecta nada el panda. Me ha salido un nuevo virus ademas del que ya tenia. Me he dado cuenta que solo se activan cuando me conecto a internet mientras pasas el antivirus y no detecta nada y si lo conecto a la red y paso el antivirus, borro los archivos renombrados de todos los usuarios borro la papelera etc sin dejar ningun rastro, en cuanto conecto a la red o me vuelven a aparecer las detecciones de virus, o simplemente me da pantallazo azul y se reinicia el ordenador
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Posteenos el contenido del C:\infosat.txt y si no tiene este fichero, posteenos el log del HJT
[b]
[color=yellow]HJT : (HiJackThis)[/color] [/b]
[i]¿Como utilizar el Hijackthis ?[/i]
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b] "; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b] [/url]
saludos
ms, 10-9-2006
[i]¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·
saludos
ms, 10-9-2006

Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
ahi esta lo que ha salido. no entiendo nada.
Logfile of HijackThis v1.99.1
Scan saved at 10:47:33, on 10/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE
C:\WINDOWS\system32\pavsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\acer\epm\epm-dm.exe
C:\ARCHIV~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\Archivos de programa\acer\eRecovery\Monitor.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Apvxdwin.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\AVENGINE.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\Juan\CONFIG~1\Temp\Rar$EX00.578\HijackThis.exe
C:\DOCUME~1\Juan\CONFIG~1\Temp\Rar$EX01.250\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138987913421
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155055957343
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: DCS Loader (DCSLoader) - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\WINDOWS\SYSTEM32\pavsrv.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
Scan saved at 10:47:33, on 10/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE
C:\WINDOWS\system32\pavsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\acer\epm\epm-dm.exe
C:\ARCHIV~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\Archivos de programa\acer\eRecovery\Monitor.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Apvxdwin.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\AVENGINE.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\Juan\CONFIG~1\Temp\Rar$EX00.578\HijackThis.exe
C:\DOCUME~1\Juan\CONFIG~1\Temp\Rar$EX01.250\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: DCS Loader (DCSLoader) - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\WINDOWS\SYSTEM32\pavsrv.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
voy a probar a apagar y encender
lo que mas me fastidia es que llevo un rato conectado desde que lo he acosado y no da señales de vida y se que en cuanto apague el ordenador y lo vuelva a enchufar van a estar ahi.
la bestia regresa
definitivamente lo he apagado y las bestias han vuelto. he vuelto a pasar el programa que me han recomendado y aqui les adjunto el resultado por si les sirve de utilidad.
ahi va todo de nuevo
Logfile of HijackThis v1.99.1
Scan saved at 11:07:19, on 10/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE
C:\WINDOWS\system32\pavsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\acer\epm\epm-dm.exe
C:\ARCHIV~1\LAUNCH~1\LManager.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Archivos de programa\Windows Defender\MSASCui.exe
C:\Archivos de programa\Babylon\Babylon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\acer\eRecovery\Monitor.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\Juan\CONFIG~1\Temp\Rar$EX00.547\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138987913421
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155055957343
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: DCS Loader (DCSLoader) - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\WINDOWS\SYSTEM32\pavsrv.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
Scan saved at 11:07:19, on 10/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE
C:\WINDOWS\system32\pavsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\acer\epm\epm-dm.exe
C:\ARCHIV~1\LAUNCH~1\LManager.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Archivos de programa\Windows Defender\MSASCui.exe
C:\Archivos de programa\Babylon\Babylon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\acer\eRecovery\Monitor.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\Juan\CONFIG~1\Temp\Rar$EX00.547\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: DCS Loader (DCSLoader) - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\WINDOWS\SYSTEM32\pavsrv.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
Prueba a lanzar elistara arrancando en modo seguro y luego debes de postear el contenido de C/:infosat.txt como te decia msc es un documento que crea elistara en el disco C.Lo copias y lo pegas aqui.Asi se podra ver que nos dice.
Saludos.
Saludos.
El trabajo en equipo es esencial... te permite echarle la culpa a otro.
ahi va el infosat
ahi va infosat
- Adjuntos
-
- InfoSat.txt
- ahi va lo que tengo. el analisis realizado a modo de fallos es el ultimo
- (1.57 KiB) Descargado 25 veces
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Los logs se han de postear copiando su contenido y pengandolos en los post, como has hecho con el del HJT, sino se pierde su estructura. Hazlo asi con el del infosat.txt, gracias
Sobre el del HJT se aprecian ficheros sospechosos, que es posible que ya controle el ELITRIIP y sino pedirá muestras:
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\nvsvcd.exe
Baja el ELITRIIP actual y pruebalo, y tras ello nos posteas el contenido del C:\infosat.txt como te hemos indicado, gracias:
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
saludos
ms, 10-9-2006
nota: y viendo que tienes algo de Panda instalado, revisa su instalacion/actualizacion, porque esto debería haberlo detectado si hubiera estado actualizado y residente...
Sobre el del HJT se aprecian ficheros sospechosos, que es posible que ya controle el ELITRIIP y sino pedirá muestras:
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\nvsvcd.exe
Baja el ELITRIIP actual y pruebalo, y tras ello nos posteas el contenido del C:\infosat.txt como te hemos indicado, gracias:
ELITRIIP:
saludos
ms, 10-9-2006
nota: y viendo que tienes algo de Panda instalado, revisa su instalacion/actualizacion, porque esto debería haberlo detectado si hubiera estado actualizado y residente...

Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
ahi va infosat de elitrip
Tue Sep 12 12:42:14 2006
EliTriIP v2.45 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.45
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.45
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"
EliTriIP v2.45 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.45
a "
C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.45
a "
C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Efectivamente:
Todas las muestras que pedimos al respecto, nos las puede enviar azonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.
Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.
saludos
ms, 12-9-2006
Nota: de todas maneras, el virus ahora ya está "aparcado"
[quote]
Por favor, envienos una muestra del fichero
C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.45
a "virus@satinfo.es ". Gracias.
Por favor, envienos una muestra del fichero
C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.45
a "virus@satinfo.es ". Gracias.[/quote]
Todas las muestras que pedimos al respecto, nos las puede enviar a
Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.
saludos
ms, 12-9-2006
Nota: de todas maneras, el virus ahora ya está "aparcado"

Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Muchisimas gracias a todos.
Gracias por vuestra ayuda os he remitido el correo pero no se por que no ha llegado, lo malo es que con la emocion luego lo borre y no tengo el archivo
En cualquier caso muchisimas gracias ya me quedo mas tranquilo, ha sido dificil de encontrar el "cabroncete" jaja.
Muchisimas gracias.
En cualquier caso muchisimas gracias ya me quedo mas tranquilo, ha sido dificil de encontrar el "cabroncete" jaja.
Muchisimas gracias.
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues siempre conviene guardar una copia de seguridad, fuera de circulacion, claro
Si la recupera o le vuelve a entrar posteelo en nuevo Tema y envienosla de nuevo
Dando el Tema por solucionado, procedemos a cerrarlo
saludos
ms, 14-9-2006
Nota: Como que cada día recibimos muestras de nuevos gusanos que emplean el nombre de fichero SMSS.EXE, vaya probando las nuevas versiones del ELITRIIP. ms.
Si la recupera o le vuelve a entrar posteelo en nuevo Tema y envienosla de nuevo
Dando el Tema por solucionado, procedemos a cerrarlo
saludos
ms, 14-9-2006
Nota: Como que cada día recibimos muestras de nuevos gusanos que emplean el nombre de fichero SMSS.EXE, vaya probando las nuevas versiones del ELITRIIP. ms.

Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Buenas a todos.
A mi me pasa algo parecido que al creador de este post, con el Trj/Rizalof.JC.
Como he leido por aquí he pasado el ELITRIIP, y creo que ha eliminado dos archivos. También he mandado esos dos archivos de "muestras" a "virus@satinfo.es " (3 veces, lo siento, pero la primera lo mandé sin adjuntar los archivos :oops: , la segunda sin lo de la referencia de usuario :oops: , y creo que a la tercera ya está -los nervios-). ¿Con eso basta? ¿debo pegar aquí lo que me aparece en InfoSAT.Txt? ¿Debo hacer algo más? ¿Ya está solucionado el problema? Lo siento por el bombardeo de preguntas.
Un saludo
A mi me pasa algo parecido que al creador de este post, con el Trj/Rizalof.JC.
Como he leido por aquí he pasado el ELITRIIP, y creo que ha eliminado dos archivos. También he mandado esos dos archivos de "muestras" a "
Un saludo
Última edición por glasgas el 17 Sep 2006, 16:39, editado 1 vez en total.
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Hazlo, podremos adelantar sugerencias
saludos
ms, 17-9-2006
saludos
ms, 17-9-2006

Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Ahí va:
Sun Sep 17 15:14:10 2006
EliTriIP v2.48 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.48
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.48
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"
Sun Sep 17 15:18:08 2006
EliTriIP v2.48 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
C:\WINDOWS\SiSport.sys --> Eliminado, RootKit
Sun Sep 17 15:14:10 2006
EliTriIP v2.48 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.48
a "
C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.48
a "
C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"
Sun Sep 17 15:18:08 2006
EliTriIP v2.48 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
C:\WINDOWS\SiSport.sys --> Eliminado, RootKit
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Mañana mismo vamos a atacar estas dos muestras que son mas variantes de una prolifica familia de la que ya controlamos con el ELITRIIP muchas de ellas como
BackDoor.CMQ
De todas formas ahora ya estan aparcadas las muestras y al reiniciar ya no se pondran en uso
Con ka nueva version del ELITRIIP que hagamos tras haber recibido las muestras, se eliminaran los restos.
saludos
ms, 17-9-2006
Nota: Lo de Sony podría tratarse de alguna proteccion anticopias o alguna coincidencia der cadenas... si quiere, envienos muestras y las analizaremos
BackDoor.CMQ
De todas formas ahora ya estan aparcadas las muestras y al reiniciar ya no se pondran en uso
Con ka nueva version del ELITRIIP que hagamos tras haber recibido las muestras, se eliminaran los restos.
saludos
ms, 17-9-2006
Nota: Lo de Sony podría tratarse de alguna proteccion anticopias o alguna coincidencia der cadenas... si quiere, envienos muestras y las analizaremos

Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Sus muestras entran en proceso.
Con el ELITRIIP que compilaremos hoy estará controlado.
Sobre las 20 horas estará disponible la v 2.49 en esta web, descarguelo, pruebelo y nos informa del resultado
saludos
ms, 18-9-2006
Con el ELITRIIP que compilaremos hoy estará controlado.
Sobre las 20 horas estará disponible la v 2.49 en esta web, descarguelo, pruebelo y nos informa del resultado
saludos
ms, 18-9-2006

Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Son muchas las variantes del mismo que ya controlamos, y esta no va a ser menos ...
SI mirais en el ELITRIIP la cantidad de Backdoors CMQ , vereis que en muchas versiones se controlan diferentes variantes del mismo.:
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
y en muchas anteriores tambien...
saludos
ms, 18-9-2006
SI mirais en el ELITRIIP la cantidad de Backdoors CMQ , vereis que en muchas versiones se controlan diferentes variantes del mismo.:
ELITRIIP:
[quote]
---v2.18---(19 de Mayo del 2006) (Muestras de BackDoor.CMQ(dr) "SMSS.EXE" y Cambio de la ubicación de las muestras a "C:Muestras")
---v2.19---(22 de Mayo del 2006) (Muestras de (3)BackDoor.CMQ(dr) "SMSS.EXE")
---v2.20---(23 de Mayo del 2006) (Muestra de Sdbot.worm.gen "MSPF.EXE")
---v2.21---(24 de Mayo del 2006) (Muestras de (3)BackDoor.CMQ(dr) "SMSS.EXE")
---v2.22---(26 de Mayo del 2006) (Muestras de (2)BackDoor.CMQ(dr) "SMSS.EXE") ---v2.23---(29 de Mayo del 2006) (Muestras de (3)BackDoor.CMQ(dr) "SMSS.EXE")
---v2.24---(30 de Mayo del 2006) (Muestras de (2)BackDoor.CMQ(dr) "SMSS.EXE")
---v2.25---( 1 de Junio del 2006) (Muestra de BackDoor.CMQ(dr) "SMSS.EXE")
---v2.26---( 2 de Junio del 2006) (Muestra de Proxy.Horst)
---v2.27---( 7 de Junio del 2006) (Muestras de (8)BackDoor.CMQ(dr) "SMSS.EXE")
---v2.28---( 8 de Junio del 2006) (Muestras de Sdbot.worm.gen.N "JAVAWS.EXE" y BackDoor.CMQ(dr) "SMSS.EXE")
---v2.29---( 9 de Junio del 2006) (Muestra de BackDoor.CMQ(dr) "SMSS.EXE")
---v2.30---(12 de Junio del 2006) (Muestras de (4)BackDoor.CMQ(dr) "SMSS.EXE")
---v2.31---(13 de Junio del 2006) (Muestras de BackDoor.CMQ "NVSVCD.EXE y NETF.DLL") ---v2.32---(19 de Junio del 2006) (Muestra del Mytob "FDD.EXE" y para Mytob.TD,TE,TQ y TS de VSAntiVirus)
---v2.33---(20 de Junio del 2006) (Muestra de BackDoor.CMQ "NVSVCD.EXE") ---v2.34---(21 de Junio del 2006) (Muestra de BackDoor.CMQ "SMSS.EXE")
---v2.34---(21 de Junio del 2006) (Muestra de BackDoor.CMQ "SMSS.EXE")
---v2.35---(22 de Junio del 2006) (Muestra de BackDoor.CMQ "SMSS.EXE")
---v2.36---(13 de Julio del 2006) (Muestras de BackDoor.CMQ "NVSVCD.EXE y NETF.DLL" y para Mytob.UD de VSAntiVirus)
---v2.37---(24 de Julio del 2006) (Muestra de Sdbot.worm.gen "TFTP****" y para el AgoBot.AKI de Trend) ---v2.38---(27 de Julio del 2006) (Muestras de BackDoor.CMQ "NVSVCD.EXE", Sdbot.worm.gen "SERVICES.EXE" y Mytob "TASKGMR.EXE")
---v2.39---(31 de Julio del 2006) (Muestras de BackDoor.CMQ "SMSS.EXE" y Sdbot.worm.gen "SERVICES.EXE")
---v2.40---( 4 de Agosto del 2006) (Muestras de BackDoor.CMQ "NVSVCD.EXE")
---v2.41---(31 de Agosto del 2006) (Muestras de BackDoor.CMQ "SMSS.EXE" y Hupigon o Pigeon "SVCH0ST.EXE") ---v2.42---( 4 de Septiembre del 2006) (Muestras de (5)BackDoor.CMQ "SMSS.EXE", SdBot "JAVANET.EXE" y "**EXMODUL32.EXE y **EXHDD32.EXE")
---v2.43---( 6 de Septiembre del 2006) (Muestra de "**EXSSD32.EXE") ---v2.44---( 7 de Septiembre del 2006) (Muestra de (4)BackDoor.CMQ "SMSS.EXE y NVSVCD.EXE", Sdbot.worm.gen.L "CSRSS.EXE" y Comprueba la existencia de los parches MS06-001 y MSo6-040 en XP y 2K)
---v2.44---( 7 de Septiembre del 2006) (Muestra de (4)BackDoor.CMQ "SMSS.EXE y NVSVCD.EXE",[/quote]
y en muchas anteriores tambien...
saludos
ms, 18-9-2006

Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Subida nueva version ELITRIIP:
https://foros.zonavirus.com/nuevas-versiones-de-utilidades-elitriip-249-elistara-1236-vt13534.html?highlight=smss+muestra
Tras probarla, comentenos resultados, gracias
saludos
ms. 18-9-2006
Tras probarla, comentenos resultados, gracias
saludos
ms. 18-9-2006

Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Buenas de nuevo.
En "muestras" no hay nada, aquí os dejo lo que tengo en Infosat.txt:
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.48
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.48
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"
Sun Sep 17 15:18:08 2006
EliTriIP v2.48 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
C:\WINDOWS\SiSport.sys --> Eliminado, RootKit
Mon Sep 18 21:08:01 2006
EliTriIP v2.49 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.48 --> Eliminado, BackDoor.CMQ
C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.48 --> Eliminado, BackDoor.CMQ (dropper)
Como dije no soy muy entendido en esto, pero creo que tras leerlo, ya lo ha eliminado ¿es así?
De ser así, ¿tengo que borrar lo de infosat y la carpeta de muestras?
Saludos y muchas gracias.
En "muestras" no hay nada, aquí os dejo lo que tengo en Infosat.txt:
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.48
a "
C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.48
a "
C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"
Sun Sep 17 15:18:08 2006
EliTriIP v2.48 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
C:\WINDOWS\SiSport.sys --> Eliminado, RootKit
Mon Sep 18 21:08:01 2006
EliTriIP v2.49 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.48 --> Eliminado, BackDoor.CMQ
C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.48 --> Eliminado, BackDoor.CMQ (dropper)
Como dije no soy muy entendido en esto, pero creo que tras leerlo, ya lo ha eliminado ¿es así?
De ser así, ¿tengo que borrar lo de infosat y la carpeta de muestras?
Saludos y muchas gracias.
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Todo solucionado:
Mon Sep 18 21:08:01 2006
EliTriIP v2.49 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.48 --> Eliminado, BackDoor.CMQ
C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.48 --> Eliminado, BackDoor.CMQ (dropper)
Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 18-9-2006
Mon Sep 18 21:08:01 2006
EliTriIP v2.49 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.48 --> Eliminado, BackDoor.CMQ
C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.48 --> Eliminado, BackDoor.CMQ (dropper)
Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 18-9-2006

Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online