Necesito ayuda!! virus messenger (SOLUCIONADO)

[astarte]

Hola!!

Estoy un poco desesperada con un virus que aparece en el messenger como un link a un video en portugués. Ya le habéis aconsejado a un chico con el mismo problema que se descargara el HijackThis 1.99.1 pero cuando yo intento hacerlo se despliega una ventanita que ni siquiera puede abrirse para ver que pone dentro. Supongo que dice que no se encuentra la página.

Gracias de antemano!!



Un saludito!

[jacotasa]

Al repecto te comento que:

Descargues la utilidad [url=http://www.zonavirus.com/descargas/elistara.asp]EliStarA[/url] y la utilidad [url=http://www.zonavirus.com/descargas/elitriip.asp]EliTriIP[/url], y junto con el Ad-Aware SE que tienes, los corras en modo seguro... Lo que te marque el Ad-Aware SE como MalWare, hay que borrarlo, que por algo es un programa que se especializa en eso.



Referente a la ventana que se abre al qerer bajar el HijackThis 1.99.1, es probable que también te pase al querer bajar las utilidades que te recomiendo, y es debido a que necesitas estar registrado en las Descargas de este foro para poder acceder a ellas.







Saludo y cuéntanos como te fue como respuesta a este tema.

[geryva]

analiza en Modo Seguro con NOD, Kaspersky o Panda:



Mira esta web :



______________________________________



INTERVENIDO



Gracias geryva, pero en este foro no se permite publicitar webs y disponemos de nuestras utillidades para no tener que ir a buscarlas fuera



Mira el estilo de nuestras respuestas si quieres seguir en este foro



saludos



ms.



______________________________________

[msc hotline sat]

Para jacotasa:



El ELISTARA sufrio un problema en el sevridor de descargas, pero ya se arregló, y el HJT voy a verlo



[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Pues la descarga 23722 la acabo de bajar y ha ido normal...



Revisalo y nos dices si te falla y lo que te falla, gracias

[msc hotline sat]

Este virus del messenger en portugues está solucionado con el actual ELISTARA, probadlo por favor:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



y si se tuviera la ejecucion de EXES interceptada, puede copiarse esta utilidad en la carpeta de sistema (C:\windows\system32 en XP) y arrancar en modo seguro con solo simbolo de sistema, tras lo cual escrinbit ELISTARA y <ENTER>



saludos



ms, 4-10-2006

[Elbereth]

Estoy desesperada, he pasado todos los spywares y antivirus posibles, he usado las dos herramientas que decís y nada...ahora incluso no puedo usar el messenger porque no se conecta...

El reporte del Elisara es el siguiente:



Wed Oct 18 12:35:45 2006

EliStartPage v12.53 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Wed Oct 18 12:48:05 2006

EliStartPage v12.53 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Z:\Setup\BDEShare\DISP.DLL --> Eliminado, DownLoader.AXG (notify)



Leyendo acerca de este tipo de virus encontré la respuesta en un foro de un chico que decía buscar en windows/system32/icpldrvx.exe y eliminarlo, a muchos les ha funcionado, pero yo no he encontrado ese ejecutable en ninguna parte de mi ordenador...Ya no se que hacer, a ver si alguien me puede echar una mano. Gracias.

[msc hotline sat]

El troyano cazapaswords del icpldrvx.exe ya lo hubiera eliminado el ELISTARA, asi que no es este.



Pero hay 220.000 malwares mas ... y los aun con controlados !



Posteenos el log del HJT y lo analizaremos:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, infornaremos



saludos



ms, 18-10-2006

[Elbereth]

Logfile of HijackThis v1.99.1

Scan saved at 9:55:31, on 19/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\rqqsnd.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Stickit\STICKIT.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Stickit\STICKIT.EXE

C:\Archivos de programa\Webshots\webshots.scr

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HIJACKTHIS\hijackthis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://80.33.185.8:12381/noticias/default.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Archivos de programa\Archivos comunes\ReGet Shared\Catcher.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Archivos de programa\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [rqqsnd] C:\WINDOWS\rqqsnd.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [StickIt Note Launcher (Required to load StickIt notes on Windows startup)] C:\Archivos de programa\Stickit\StickItLauncher.exe

O4 - HKCU\..\Run: [BPS Spyware Remover] C:\Archivos de programa\BulletProofSoft.com\BPS Spyware Remover\SpyRem.exe

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Descargar con &ReGet Deluxe - C:\Archivos de programa\Archivos comunes\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Descargar todo con &ReGet Deluxe - C:\Archivos de programa\Archivos comunes\ReGet Shared\CC_All.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{79D2FE62-5616-45DD-B8DE-2CFC28642609}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe



Muchísimas gracias.

[msc hotline sat]

De entrada vemos este troyano activo en memoria,



C:\WINDOWS\rqqsnd.exe



Enviuenis nuestra del mismo, mientras analizamos las claves del log





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



Elimina estas clabes;

(Arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED)





@:normal:network mesaager of NTS



O4 - HKLM\..\Run: [rqqsnd] C:\WINDOWS\rqqsnd.exe





A la recepocion de la muestra solicitada, segyiremos informando



saludos



ms, 19-10-2006

[Elbereth]

Muchísmas gracias por tu interes y tu ayuda. Al final lo he solucionado usando la herramienta de XP, restaurar sistema a un punto de referencia anterior. Como era consciente de que día me había entrado el virus y no había instalado programas importantes en esos días, restauré y me eliminó el problema sin comprometer ni archivos ni e-mails etc...

Ahora sí, he aprendido bien la lección y no pienso ejecutar nada que me manden por el messenger sin saber con certeza de donde procede...

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 21-10-2006