Messenger Plus

zipporro · Mensaje por **zipporro** » 11 Nov 2006, 19:28

Hola a tod@s.

Antes de ayer me bajé el famoso messenger plus para lo del tema de sonidos y demás, mientras uno chatea. Bien, la cosa es que el programa me funciona perfectamente pero mi sorpresa es que al mirar dentro de la carpeta "Favoritos" en el explorer veo que me ha creado un monton de subcarpetas y enlaces a páginas web, los cuales no soy capaz de eliminar pues al pinchar sobre una de estas carpetas con el boton derecho del raton para eliminarlas, no me deja, no me da la opción. Alguien podría ayudarme a eliminarlas?

Gracias, atentamente,

Zipporro

novatillo · Mensaje por **novatillo** » 11 Nov 2006, 19:43

Con el programita te has descargado un adware de publicidad que tu mismo has autorizado posteanos el log del HJT:

HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, infornaremos

Puedes probar a desinstalarlo desde el panel de control pero si no me equivoco te pedira una clave la cual no se consigue.

saludos.

Mensaje por **msc hotline sat** » 11 Nov 2006, 19:52

Y para todos, no es recomendable el Messenger PLUS !!! Es foco de adwares.

Empiece por desinstalarlo desde Panel de Control-> AGREGAR O QUITAR PROGRAMAS, luego postee el HJT indicado, y eliminaremos restos y derivados, gracias

saludos

ms, 11-11-2006

zipporro · Mensaje por **zipporro** » 11 Nov 2006, 19:52

Muchas gracias por tu ayuda de antemano. Deciros que me ha dejado desinstalarlo.

Logfile of HijackThis v1.99.1

Scan saved at 18:53:44, on 11/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\snmp.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\System32\sistray.EXE

C:\WINDOWS\htpatch.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Everest Labs\Spydefense\sdc.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

c:\archiv~1\intern~1\iexplore.exe

C:\WINDOWS\system32\wupdmgr1.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Nueva carpeta\HijackThis.exe

C:\Archivos de programa\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer secured by EverestLabs

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Skipphoneinsidemove] C:\Documents and Settings\All Users\Datos de programa\Free bash skip phone\stylemeow.exe

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKCU\..\Run: [SpyDefense] C:\Archivos de programa\Everest Labs\Spydefense\sdc.exe /service

O4 - HKCU\..\Run: [part htm] C:\DOCUME~1\ALEXYG~1\DATOSD~1\MEETBA~1\body style 32.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - https://www-secure.symantec.com/techsupp/asa/ctrl/tgctlsi.cab

O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/tgctlsr.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E661D1C7-02CB-4B7C-8515-0F332E85802D}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: pushow71.dll

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

Mensaje por **msc hotline sat** » 11 Nov 2006, 20:03

Aqui tiene algo mas grave que el MSN PLUS:

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

Esto es una variante del Backdoor CMQ !!!

Pruebe el ELITRIIP y si le pidiera enviar muestras recuerde:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 11-11-2006

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

zipporro · Mensaje por **zipporro** » 11 Nov 2006, 20:32

Sat Nov 11 19:14:56 2006

EliTriIP v2.75 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.75

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\SVKP.SYS --> Eliminado

Sat Nov 11 19:16:51 2006

EliTriIP v2.75 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Nero\Nero 7\Nero AVI2DVD Plugin.exe --> Eliminado, Bifrose (dropper)

C:\Documents and Settings\AlexYGemma\Mis documentos\Descargas\Ejecutables\windows\dotnetfx.exe --> Eliminado, Bifrose (dropper)

C:\Documents and Settings\AlexYGemma\Mis documentos\Descargas\Ejecutables\windows\Install_MSN_Messenger.EXE --> Eliminado, Bifrose (dropper)

C:\WINDOWS\SISPORT.SYS --> Eliminado, RootKit

Gracias por vuestro tiempo

Zipporro

Mensaje por **msc hotline sat** » 11 Nov 2006, 20:58

Pues ya se lo adelantabamos:

"Por favor, envienos una muestra del fichero

C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.75 "

saludos

ms. 11-11-2006

zipporro · Mensaje por **zipporro** » 11 Nov 2006, 21:15

Muchas gracias por ayudarme a limpiar el ordenador pero me siguen apareciendo las carpetas y enlaces webs en la pestaña de favoritos del explorer. Como podria eliminarlas? Hay forma de hacerlo?

Un saludo, Zipporro

Mensaje por **msc hotline sat** » 11 Nov 2006, 21:37

Tras analizar la muestra desarrollaremos la version que lo controle

y mientras, pruebe el ELISTARA para los popups:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms.11-11-2006

zipporro · Mensaje por **zipporro** » 11 Nov 2006, 22:39

Sat Nov 11 21:18:02 2006

EliStartPage v12.69 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Problema resuelto. Muchas gracias. Una ultima pregunta, un antivirus q funcione de verdad, cual m recomiendas?

novatillo · Mensaje por **novatillo** » 12 Nov 2006, 02:18

Lo primero has enviado la muestra que se te pedia? y respecto a los antivirus mas o menos todos funcionan bien pero has de tener en cuenta que todos los dias salen mas de 200 variantes nuevas y es normal que se nos cuelen y mas si no tenemos cuidado al insatalar programas y las descargas P2P etc.

Saludos.

zipporro · Mensaje por **zipporro** » 12 Nov 2006, 02:40

Si, ya la envie. Ejecuto el anti-popup me lo borra pero luego vuelvo a abrir el explorer y me vuelven a salir, por que?

Gracias

Mensaje por **msc hotline sat** » 12 Nov 2006, 18:45

Pues habrá que pensar mal de esta DLL:

pushow71.dll

debes tenerla en la carpeta de sistena, envianos muestra y la analizaremos e informaremos

enviala a zonavirus@satinfo.es anexada a un mail indicando como referencia tu nick en el foro, gracias

y mientras la renombras a .VIR y tras reiniciar ya no se pondrá en marcha, luego, si es virus ya la eliminará el ELISTARA junto con la clave y si no, la volveremos renombrar a DLL

saludos

ms, 12-11-2006

13112006ES