tengo el psw.x-vir trojan necesito ayuda (SOLUCIONADO)

[menare]

porfa necesito ayuda tengo este spyware psw.x-vir trojan y no se como eliminarlo :(

yo no se mucho sobre esto pero e leido los foros y he visto q lo q piden para poder ayudar es un log q entrega el hijackthis



aqui esta el mio:



Logfile of HijackThis v1.99.1

Scan saved at 21:25:05, on 19/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Media-Codec\pmsngr.exe

C:\Archivos de programa\Media-Codec\isamonitor.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe

C:\Archivos de programa\Media-Codec\pmmon.exe

C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Media-Codec\isamini.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\WINDOWS\VM305_STI.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Jorge\CONFIG~1\Temp\Rar$EX00.110\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Archivos de programa\Media-Codec\isaddon.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Archivos de programa\Media-Codec\iesplugin.dll

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe

O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [heckwarnokayfile] C:\Documents and Settings\All Users\Datos de programa\AxisMpegHeckWarn\Fast Test.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\ARCHIV~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [areslite] "C:\Archivos de programa\Ares Lite Edition\AresLite.exe" -h

O4 - HKCU\..\Run: [metatwo] C:\DOCUME~1\Jorge\DATOSD~1\BOLTCR~1\BalmEncNew.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxpt119YYCL

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {66D393D5-4D80-497C-9F4F-F3839E090202} (PlayerOCX Control) - http://www.pysoft.com/Downloads/WebCamPlayerOCX.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {A8739816-022C-11D6-A85D-00C04F9AEAFB} (Web Camera Server Control) - http://200.72.68.149:18002/wg_webeye.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: astrogeology - {2be26361-58a2-4836-be57-b838f02fec3f} - C:\WINDOWS\system32\qxfgcg.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe

O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe



ojala me ayuden porq no ce q hacer con este spyware

desde antemanos se los agradezco :lol:



:twisted: menare :evil:

[msc hotline sat]

Envienos muestras de estos ficheros:





C:\Archivos de programa\Media-Codec\pmsngr.exe



C:\Archivos de programa\Media-Codec\isamonitor.exe



C:\Archivos de programa\Media-Codec\pmmon.exe



C:\Archivos de programa\Media-Codec\isamini.exe



C:\WINDOWS\system32\qxfgcg.dll





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.







Aparte elimine estas claves:



R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL



O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL



O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL



O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Archivos de programa\Media-Codec\isaddon.dll



O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)



O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Archivos de programa\Media-Codec\iesplugin.dll



O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\ARCHIV~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S



O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe



O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxpt119YYCL



O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe



O21 - SSODL: astrogeology - {2be26361-58a2-4836-be57-b838f02fec3f} - C:\WINDOWS\system32\qxfgcg.dll







Tras recibir las muestras procederemos e informaremos





saludos



ms, 20-9-2006



NOTA: TIENE DOS ANTIVIRUS INSTALADOS, DEBE DESINSTALAR UNO !!! ms.

[menare]

podrias explicarme como obtener esas muestras de esos ficheros para poder enviartelos

no soy muy entendido en la materia :(



se te agradece

[boomerang]

tienes que enviarle un email



con los archivos esos para que los analizen!



poniendo tu nick en asunto para que sepan que eres tu!

[msc hotline sat]

gracias boomerang, creo que tuviste una variante del mismo y lo solucionamos tras enviarnos muestras... a ver si en este caso jave lo mismo y lo solucionamois cion nueva verison de nuestras utilidades ...



saludos



ms. 21-9-2006

[menare]

trato de enviar los archivos por mail pero gmail no me lo permite por el hecho de ser archivos ejecutables





como lo hago ?





menare

[msc hotline sat]

Empaquetalos en un ZIP con password VIRUS y nadie lo interceptará





saludos



ms, 22-9-2006



NOTA:





COMO QUE ESTAS EN CHILE, MIRA DE ENVIARLO ANTES DE IR A DORMIR, SINO NO HABRA TIEMPO DE PROCESARLO MALANA OPARA TI ( AQUI YA ESTAMOS EN DIA 22 ! ms.)

[msc hotline sat]

No habiendo recibido aun las muestras cuando cerramos la recepcion de hoy, envielas cuando pueda, nosotros volvemos el martes de una fin de semana largo (fiesta mayor de Barcelona) y las analizaremos entonces.



saludos



ms, 22-9-2006

[menare]

Holaa disculpa por no haber enviado las muestras pero es q no tenia tiempo. :D



mira parece q he solucionado el problema yaq no me aparece ninguna ventanita de advertencia ni nada por el estilo, tambien creo q se a arreglado la pagina principal de internet q tenia ya q no me manda ahora a una pagina de un anti spyware.



todo esto creo q es gracia al spyware doctor (antispyware) q he instalado el cual me arrojo q tenia en el pc 577 spyware de los cuales ahora no qeda ni uno. :D



por las dudas igual te envio mi log para q me digas si se ve limpio o no el pc



Logfile of HijackThis v1.99.1

Scan saved at 21:47:24, on 22/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)









[size=200] I N T E R V E N I D O [/size]



POR



[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]



no deben mezclarse logs de 2 ordenadores en un mismo Tema.



https://foros.zonavirus.com/viewtopic.php?t=6268



Posteelo en Tema aparte, tras seguir las instrucciones:



https://foros.zonavirus.com/viewtopic.php?t=5148



___________







Aaa otra duda mira no puedo eliminar por completo el antivirus avg porq hay archivos q dice q estan siendo utilizados por otros usuarios



gracias por todo :D



:evil: menare :twisted:



______________________



[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]



y a tus comentarios, arranca en modo seguro y elimina las lineas de carga al respecto o desinstalalo desde Panel de Comtrol -> Agregar o Quitar programas, pero mejor postealo en otro Tema y te ayudaremos



ms.



_______________________

[boomerang]

comprastes el antivirus doctor ese???



yo como me salio con todo el rollo ese pase por si acaso era alguna trampa!!!



segun me dijeron el virus que tienes y tenia yo tb era un caza pasword bancario aver si as comprado alguna cosa y la as liao!!



tb es verdad que aveces me sale de evz en cuando esa venatna para evr si compro el tal antivirus y siempre e pasado de ella por si acaso

[Julio Fiorele]

Atento a haber recibido un mensaje aterrador de que habia sido poseido por el virus PSW.X-VIR y quienes me lo advertian eran los salvadores de la patria, fui, como casi todos, a buscar la solucion en el producto que se me aconsejaba como "mas bueno que tu madre"

A pesar de ser adulto, fue embaucado como caperucita y me atraparon con el mensaje en cada oportunidad que abria mi Explorer.

Al principio entendi que el PC-Doctor era free, por lo que le permiti que hiciera un planeo sobre mi PC para que me informara sobre la situacion real de contagio. Resulto que tenia una cantidad de virus y demas "yerbas" por alrrededor de 300. Al principio me preocupo pero como mas viejo que zorro y luego de muchisimos años de batallar contra estos "individuos" comence a solicitar respuestas por Internet. Sin mas rollo, les cuento que, personalmente concluyo que todo esto no es mas que una patraña de PC-Doctor y que estoy actualmente mas dedicado a eliminar la interferencia de estos bastardos que en eliminar el supuesto virus PSW.x que probablemente lo tenga pero que lo elminare solito. No me crean sobervio, pero esta gente nos esta vendiendo pescado podrido y no comprenden que mi computador es como mi hogar y solo entran a mi ruego o por la fuerza recontra bruta

[msc hotline sat]

Bomerang, estamos pendientes de recibir las muestras solicitadas. Las enviastes...???



En el ELISTARA de hoy tamnpoco se han podido contemplar por no recibirlas



Si no haces caso a ello, pasaremos a cerrar el Tema entendiendo que lo podemos dar por solucionado.



ms.



Nota: y respecto al post anterior, cuidado que de "FAKE ALERTS" los hay a montones...

[boomerang]

mi problema ya esta solucionado!!



lo unico que aveces me sale esa publicidad , nada mas pero lo demas esta todo resuelto!

[msc hotline sat]

Pues no enviastes las muestras ...



Pero dado lo indicado pasamos a darlo por solucionado y procedemos a cerrar el Tema



saludos



ms, 27-9-2006