Ayuda!!
Hola
Bienvenido al foro.
No se a que se refiere con ya he hecho lo que habeis puesto, pero pruebe con Elitriip, descarguelo y ejecutelo en modo seguro previa desactivacion del restaurar sistema,
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
Luego reinicia el ordenador y nos postea el contenido de C:/Infosat.txt y nos comenta los resultados,
Saludos.
No se a que se refiere con ya he hecho lo que habeis puesto, pero pruebe con Elitriip, descarguelo y ejecutelo en modo seguro previa desactivacion del restaurar sistema,
ELITRIIP:
Luego reinicia el ordenador y nos postea el contenido de C:/Infosat.txt y nos comenta los resultados,
Saludos.
-
barrabasio
Perdon x no aberme explicado..jeje
en 1 foro ablabais de este virus y le dijisteis que iciera unas cosas yo lo e echo y no e consegido nada.gracias
-
Eddy89
Hola
Te infectaste de uno dificil de quitar es un troyano llamado:
Trojan-Proxy.Win32.Horst.ax que muta al exmodul.
Bajate el ewido reinicia y en modo seguro haces un scaneo si esto no te lo quita.
Pasale el hijack this y te debe de salir una entrada asi :
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
De todos modos pegas el log aqui en el foro.
Otra vez en modo seguro y le pones una flechita a esta entrada que te puse (O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w)
y luego en fix checked. Reinicias y nos cuentas como te fue.
HijackThis:
http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp
Ewido:
http://www.ewido.net/en/download/
Suerte.
Trojan-Proxy.Win32.Horst.ax que muta al exmodul.
Bajate el ewido reinicia y en modo seguro haces un scaneo si esto no te lo quita.
Pasale el hijack this y te debe de salir una entrada asi :
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
De todos modos pegas el log aqui en el foro.
Otra vez en modo seguro y le pones una flechita a esta entrada que te puse (O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w)
y luego en fix checked. Reinicias y nos cuentas como te fue.
HijackThis:
Ewido:
Suerte.
-
barrabasio
el log
Sun Oct 08 22:18:11 2006
EliStartPage v12.49 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINDOWS\UpdReg.EXE"
Eliminada Carpeta "%WinSys%\LogFiles"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sun Oct 08 22:18:53 2006
EliStartPage v12.49 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar
Sun Oct 08 22:24:30 2006
EliTriIP v2.58 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado
C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\DIRECTX.EXE.Muestra EliTriIP v2.58
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\DIRECTX.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"
EliStartPage v12.49 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINDOWS\UpdReg.EXE"
Eliminada Carpeta "%WinSys%\LogFiles"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sun Oct 08 22:18:53 2006
EliStartPage v12.49 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar
Sun Oct 08 22:24:30 2006
EliTriIP v2.58 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado
C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\DIRECTX.EXE.Muestra EliTriIP v2.58
a "
C:\WINDOWS\SYSTEM32\DIRECTX.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"
-
barrabasio
el otro log
Logfile of HijackThis v1.99.1
Scan saved at 23:49:17, on 08/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
D:\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe
D:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series (Copiar 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P34 "EPSON Stylus C62 Series (Copiar 1)" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [CTSysVol] D:\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\system32\E_S17D.tmp"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{60E2784F-3714-4A50-A881-DA0E58C648AB}: NameServer = 80.58.61.250 80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{60E2784F-3714-4A50-A881-DA0E58C648AB}: NameServer = 80.58.61.250 80.58.61.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{60E2784F-3714-4A50-A881-DA0E58C648AB}: NameServer = 80.58.61.250 80.58.61.254
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DirectX Service (DirectMahm) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Scan saved at 23:49:17, on 08/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
D:\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe
D:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series (Copiar 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P34 "EPSON Stylus C62 Series (Copiar 1)" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [CTSysVol] D:\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\system32\E_S17D.tmp"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{60E2784F-3714-4A50-A881-DA0E58C648AB}: NameServer = 80.58.61.250 80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{60E2784F-3714-4A50-A881-DA0E58C648AB}: NameServer = 80.58.61.250 80.58.61.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{60E2784F-3714-4A50-A881-DA0E58C648AB}: NameServer = 80.58.61.250 80.58.61.254
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DirectX Service (DirectMahm) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Hola
Por ahora te puedo aconsejar que envies las muestras que te pide elitriip,
C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\DIRECTX.EXE.Muestra EliTriIP v2.58
a "virus@satinfo.es ". Gracias.
Todas las muestras se piden al respecto, las puede enviar azonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podran informarle si hay alguna incidencia sobre el particular, gracias.
Tras recibirlas, las analizaran e implementaran su control y eliminación, si procede, en las utilidades de la pagina , de lo cual se informara en el foro, como siempre.
Saludos.
C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\DIRECTX.EXE.Muestra EliTriIP v2.58
a "
Todas las muestras se piden al respecto, las puede enviar a
Tras recibirlas, las analizaran e implementaran su control y eliminación, si procede, en las utilidades de la pagina , de lo cual se informara en el foro, como siempre.
Saludos.
mis disculpas...
mis disculpas pase a copiar una parte que no debia, el fichero a enviar es el:
Por favor, envienos una muestra del fichero
C:\Muestras\DIRECTX.EXE.Muestra EliTriIP v2.58
a "virus@satinfo.es ". Gracias.
El otro no existe porque ya fue eliminado... disculpe el error de copiado:oops: ,
Saludos.
Por favor, envienos una muestra del fichero
C:\Muestras\DIRECTX.EXE.Muestra EliTriIP v2.58
a "
El otro no existe porque ya fue eliminado... disculpe el error de copiado
Saludos.
Última edición por koga el 09 Oct 2006, 00:15, editado 1 vez en total.
Re: mis disculpas...
[quote="koga"]mis disculpas pase a copiar una parte que no debia, el fichero a enviar es el:
Por favor, envienos una muestra del fichero
C:\Muestras\DIRECTX.EXE.Muestra EliTriIP v2.58
a "virus@satinfo.es ". Gracias.
El otro no existe porque ya fue eliminado... disculpe el error de copiado:oops: ,
Saludos.[/quote]
Espero haya visto este mensage y haya enviado muestras del fichero DIRECTX:EXE y no del otro que puse por error,
Saludos.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Recibida muestra del DIRECTX.EXE se implementa su control y eliminacion en la version 2.59 del ELITRIIP de hoy, que estara disponible a partir de las 18 h de hoy en esta web para pruebas de evaluacion
saludos
ms, 9-10-2006
91006ET
saludos
ms, 9-10-2006
91006ET
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Sunida nieva version del ELITRIIP
https://foros.zonavirus.com/aqui-vp69597.html#69597
Pruebela y nos comenta el resultado, gracias
saludos
ms, 9-10-2006
Pruebela y nos comenta el resultado, gracias
saludos
ms, 9-10-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online