virus w32/threat-hllam-based!maximus (SOLUCIONADO)

[carmen2305]

hola.



Tengo el virus este que digo arriba en mi ordenador, en el archivo c:\archivos de programa\wunauclt.exe

mi antivirus, norton, no lo detecta, pero con el mcaffe, por ejemplo, si, y me da ese nombre.



por lo que me he estado informando en internet, alguien utiliza ese virus para conectarse a mi ordenador y incluso infectar a otros a traves del mio o algo de eso, a traves de la tcp 445.



Cuando lanzo el elitrip me dice precisamente eso, que si quiero bloquear la conexion TCP 445, y por supuesto yo le digo que si, pero no me imaginaba que se relacionaba con este virus.



el norton tambien me informa de una conexion que se quiere hacer a mi ordenador, y cuando hago doble click sobre el archivo infectado inmediatamente me sale la pantalla de aviso del norton de que se quieren conectar a mi ordenador, con el nombre de "indigo rose corporation" o algo parecido.



¿que hago? como elimino este virus y al h--------- que me quiere manejar mis cosas?????????????





por cierto, siento molestaros tanto, pero esque mi ordenador es un nido de gusanos.... que asco, por Dios

GRACIAS POR TODO

[koga]

Inicie en modo seguro con funciones de red, desactive la restauracion del sistema y ejecute el siguiente antivirus online:



https://www.eset.es/analisis-online/



Luego reinicia y nos comenta los resultados,





Saludos.

[msc hotline sat]

Mira de enviarnos muestra de los ficheros infectados,. como siempre, y los analizaremos y desarrollaremos utilidad de eliminacion. por si no pudieras normalmente


[quote]


Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



Para que el envio no sea interceptado por los antivirus, desactivando el antivirus residente o arrancando en modo seguro, empaquetar el fichero infectado en un ZIP o RAR con password "VIRUS" y asi se encriptará de manera que nadie lo detecte


[/quote]

saludos



ms, 27-10-2006

[carmen2305]

bien, primer problema



he reiniciado en modo seguro con funciones de red y de conectarse a internet nada de nada. Que no puedo.

He pasado el antivirus online que me decis arriba y no me detecta nada, pero esto en modo normal, no en seguro.

El ordenador me hace una cosa, y es que el norton me da un aviso de ataque a mi ordenador, y a continuación ya no me va el internet hasta pasado un rato.

No se si tendrá algo que ver, pero por si acaso yo lo cuento.



Y dicho esto, envio muestra del archivo, ya que no hay solución de momento.



Quedo a la espera y gracias!

[msc hotline sat]

Arrancando en dicha forma si tiene ADSL a traves de router y ethernet, deberia poder lanzar el ONLINE, pero si lo tiene por USB o modem no.



Si el McAfee te lo detecta, caso que lo tenga instalado, desactive la restauracion de sistema, arranque en modo seguro y lance el antivirus, pero si tiene el Norton no tendrá el McAfee...



De momento mueva o renombre dicho fichero, y asi, al reinciar, ya no se pondrá en marcha



El lunes, en cuanto abra la empresa (SATINFO) se procesará la muestra y se implementara su control y eliminacion en nuestras utilidades, de lo cual informaremos.



saludos



ms, 27-10-2006

[msc hotline sat]

Pues es detectadoi diferente por cada antivirus !



subido al VIRUSTOTAL informa:




[quote]
Este es el resultado completo de analizar el archivo "wunauclt.exe" que VirusTotal ha recibido el día 30.10.2006 a las 13:16:29 (CET).



Antivirus Version Actualización Resultado

AntiVir 7.2.0.34 30.10.2006 no ha encontrado virus

Authentium 4.93.8 30.10.2006 Possibly a new variant of W32/Threat-HLLAN-based!Maximus

Avast 4.7.892.0 30.10.2006 no ha encontrado virus

AVG 386 27.10.2006 no ha encontrado virus

BitDefender 7.2 30.10.2006 no ha encontrado virus

CAT-QuickHeal 8.00 28.10.2006 no ha encontrado virus

ClamAV devel-20060426 30.10.2006 no ha encontrado virus

DrWeb 4.33 30.10.2006 no ha encontrado virus

eTrust-InoculateIT 23.73.40 28.10.2006 Win32/Zoih.A!Trojan

eTrust-Vet 30.3.3168 30.10.2006 no ha encontrado virus

Ewido 4.0 30.10.2006 no ha encontrado virus

Fortinet 2.82.0.0 30.10.2006 W32/Istbar.ZE!tr.dldr

F-Prot 3.16f 28.10.2006 Possibly a new variant of W32/Threat-HLLAN-based!Maximus

F-Prot4 4.2.1.29 30.10.2006 W32/Threat-HLLAN-based!Maximus

Ikarus 0.2.65.0 30.10.2006 Backdoor.Win32.Hupigon.BV

Kaspersky 4.0.2.24 30.10.2006 no ha encontrado virus

McAfee 4883 27.10.2006 Generic Dropper.w

Microsoft 1.1609 26.10.2006 no ha encontrado virus

NOD32v2 1.1842 27.10.2006 no ha encontrado virus

Norman 5.80.02 30.10.2006 no ha encontrado virus

Panda 9.0.0.4 29.10.2006 no ha encontrado virus

Sophos 4.10.0 26.10.2006 Mal/Packer

TheHacker 6.0.1.108 30.10.2006 no ha encontrado virus

UNA 1.83 27.10.2006 no ha encontrado virus

VBA32 3.11.1 29.10.2006 no ha encontrado virus

VirusBuster 4.3.15:9 29.10.2006 no ha encontrado virus





Información adicional

Tamaño archivo: 435756 bytes

MD5: 5cdeae3cf73a9d1490a4c83eb0e543e9

SHA1: edbaaa2107217ec2df0c4c0b96031da37b6b9d38

packers: NSPACK, BINARYRES, SETUP FACTORY

packers: Packed




[/quote]

En el ELISTARA de hoy que subiremos a esta web esta tarde estrña contriolado como Dropper Maximus



Descargalo, pruebalo y cuentanos el resultado, gracias



saludos



ms, 30-10-2006

[carmen2305]

he pasado el elitrip de hoy, pero no me ha detectado nada.

El archivo lo tengo cambiado de nombre como me dijiste.

¿Se supone que la version de elitrip no lo detecta todavía o puede haber algun fallo?

[msc hotline sat]

Tras arrancar con el nombre cambiado, normalizalo antes de lanzar la utilidad, pues sino, no mira los ficheros que no tengan extension ejecutable, para ganar tiempo



Tras ello, nos cuentas el resultado, gracias





saludos



ms, 30-10-2006



nota:

El ELISTARA de hoy controla el Dropper Maximus en el "WUNAUCLT.EXE



---v12.61-(30 de Octubre del 2006) (Muestras de (17)Puper-Isa, FakeAlert "*****.DLL", DownLoader "~TMP***.EXE" y Dropper.Maximus "WUNAUCLT.EXE")

[carmen2305]

ya he pasado el elistara (antes no detectaba nada porque estaba pasando el elitrip... :oops: )





Mon Oct 30 20:58:29 2006

EliStartPage v12.61 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Mon Oct 30 20:58:34 2006

EliStartPage v12.61 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

[b]C:\Archivos de programa\WUNAUCLT.EXE --> Eliminado, Dropper.Maximus[/b]

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\CRACK_UNINST.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_LOADER.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_NOSOUND.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_R800X600.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_WINDOW.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\TSBin\SIMS2EP1_CRACK.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Mis documentos\juegos\sims\Los Sims 2 Universitarios\Crack y serial\SIMS2EP1_CRACK.EXE --> AutoExtraible

[b]C:\Muestras\IBM00001.EXE.MUESTRA ELISTARTPAGE V12.54 --> Eliminado, PWS-JA[/b]

[b]C:\WINDOWS\system32\WUNAUCLT.EXE --> Eliminado, Dropper.Maximus[/b]

Mon Oct 30 21:06:51 2006

EliStartPage v12.61 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Mon Oct 30 21:07:31 2006

EliStartPage v12.61 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\CRACK_UNINST.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_LOADER.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_NOSOUND.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_R800X600.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_WINDOW.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\TSBin\SIMS2EP1_CRACK.EXE --> AutoExtraible

[b]C:\Archivos de programa\Spyware Doctor\tools\EG.DAT.VIR --> Eliminado, DownLoader

C:\Archivos de programa\Spyware Doctor\tools\KLG.DAT.VIR --> Eliminado, DownLoader[/b]

C:\Documents and Settings\Compaq_Propietario\Mis documentos\juegos\sims\Los Sims 2 Universitarios\Crack y serial\SIMS2EP1_CRACK.EXE --> AutoExtraible



como se ve tenía bichos varios.

El wunauclt por lo que veo tambien estaba ahora en la carpeta system32



el caso es que en la carpeta C:\Archivos de programa donde estaba el archivo infectado de que tenía conocimiento tambien hay un wunauclt.tbe y un wunauclt comprimido en zip, que al abrirlo tiene un wunauclt.exe.

Esto será parte del virus?

ESque estoy un poco acojonada, hablando en plata, porque en internet leí que el virus este maximus aunque se elimine del archivo principal (por explicarlo de alguna manera) deja infeccion por todo el ordenador sin que lo sepamos, y que en la mayoria de los casos lo mejor es el formateo.

¿esto es así? ¿me fio de que ya está todo ok o quedo alerta por si acaso me reaparece por otro lado?



Y por cierto.... GRACIAS!

[msc hotline sat]

No hay de qué, es un placer. Pero alerta se ha de estar siempre !



Lo que que está en todas partes, a no ser que se encripte o mute, con el ELISTARA henos escaneado todos los ejecutables en busca de ficheros con la cadena de deteccion y los hemos eliminado.



C:\Archivos de programa\WUNAUCLT.EXE --> Eliminado, Dropper.Maximus



Eliminado, PWS-JA

C:\WINDOWS\system32\WUNAUCLT.EXE --> Eliminado, Dropper.Maximus



C:\Muestras\IBM00001.EXE.MUESTRA ELISTARTPAGE V12.54 --> Eliminado, PWS-JA



C:\WINDOWS\system32\WUNAUCLT.EXE --> Eliminado, Dropper.Maximus



C:\Archivos de programa\Spyware Doctor\tools\EG.DAT.VIR --> Eliminado, DownLoader



C:\Archivos de programa\Spyware Doctor\tools\KLG.DAT.VIR --> Eliminado, DownLoader



Pero en cualquiera de los autoextraibles puedeb esconderse mas bichos, que aparecerian si se ejecutaran.



De momento está limpio, pero especialmente al ser novedoso, mucho cuidado !



Si dice que tenia un ZIP al respecto "en la carpeta C:\Archivos de programa donde estaba el archivo infectado de que tenía conocimiento tambien hay un wunauclt.tbe y un wunauclt comprimido en zip, que al abrirlo tiene un wunauclt.exe." vea que todo ello lke haya suido detectado y eiminado, y si no, haganoslo saber!





saludos



ms, 30-10-2006

[carmen2305]

pues si, despues de haber pasado el elistara, me han quedado esos dos archivos que digo, el zip y el tbe.

en la carpeta system32 por comentartelo, tambien tengo otro wunauclt y wunauclt1, pero estos me imagino que si seran los de la actualizacion automatica de windows update, tal y como me marcan los dos archivos en propiedades.

Bueno, en cuanto a los dos primeros, para mi que esos venían de con el que hemos eliminado, pero claro, yo no soy la experta.

Que me aconsejas?

[msc hotline sat]

Por esto utilizamos el foro para evaluacion, porque no sabemos de donde vienen, y michas veces a donde van ! :lol:



Envianos estos dos ficheros con el mismo nombre y extension " zip y tbe " que por el hechoo de tener esta extension, no son examinados, pero veamos si los podemos controlar y eliminar aunque normalmente no niremos estas extensiones



Pero alegrate que ya estas limpia ! :lol: y estos no estan en proceso.



saludos



ms, 31-10-2006

[carmen2305]

pues si, me alegro, la verdad, aunque aun hay cosas raras que no entiendo. por ejemplo, el elitrip todavia me dice nada mas ejecutarlo que si quiere bloquear el intento de intrusion por la TCp 445, y navegar por internet es una odisea, el norton me da el aviso de un ataque externo y internet deja de funcionar.

No se si todo esto tendrá que ver, pero a mi me tiene un tanto mosqui.

Ayer envié las muestras, en un rato que me dejaron.

Quedo a la espera

[msc hotline sat]

Lo de bloquear el intento de intrusion cerrando el TCP445 es una opcion para los casos en que una intrusion por est port debido a falta de parches, nos provoca un shutdown qie nos impide lanza un windowsupdate u estamos comno ekl operrio que se muerde la cola, hasta quie ebitamos dicho intento de intrusion cerrando el port y podemos abrir el I.E. y lanzar la actualizacion.



Pero si no se precisa, se pasa de ello y listos.



Me consta que tus muestras han llegado y estan en cola para entrar en proceso



saludos



ms, 2-11-2006

[msc hotline sat]

Las muestras recibidas son de ficheros empaquetados en ZIP con password. Sin saber el password nada podemos hacer, si quieres eliminalos y listos



saludos



ms, 2-11-2006

[msc hotline sat]

Bueno, a raiz de otro Tema que tambien tiene fichero .TBE empaquetados en ZIP con password hemos visto que se pueden ejecutar claves con ficheros sin extension, por lo que puede que en el log del HJT haya claves que a partir de ahora nos miremos con otro criterio



Por ello te pedimos postees nuevo log del HJT actual y lo analizaremos en busca de estas claves que pudieran lanzar ficheros BAT, EXE o lo que fueran, de manera que desempaquetar dichos ficheros empaquetados y encriptados...



Postealo y te diremos algo al respecto



saludos



ms, 2-11-2006

[carmen2305]

ok, esto es lo que me da el hijackthis:



Logfile of HijackThis v1.99.1

Scan saved at 17:50:20, on 06/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton Internet Security\ISSVC.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\brss01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Brmfrmps.exe

C:\Archivos de programa\ewido anti-spyware 4.0\guard.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Archivos de programa\Spyware Doctor\sdhelp.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\wdfmgr.exe

c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

C:\HP\KBD\KBD.EXE

C:\windows\system\hpsysdrv.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spyware Doctor\swdoctor.exe

C:\Archivos de programa\Jazztel\Jazztel ADSL USB\dslmon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NSMdtr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\COMPAQ~1\CONFIG~1\Temp\Rar$EX00.594\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/go/mypcchoice

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [SetDefPrt] C:\Archivos de programa\Brother\Brmfl04a\BrStDvPt.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (HKCU)

O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (HKCU)

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6A868C04-B942-11D8-8D76-0008C7FF1716} (BanServidorFicherosBPP.DownloadBPP) - https://www.bancaja.es/arq_activex/particulares/BanServidorFicherosBPP.CAB

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1158489701500

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4881/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B84D3AD3-2698-46ED-9105-09434C8511E0}: NameServer = 62.14.63.145 62.14.2.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Archivos de programa\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ISSVC.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe



A ver que tal...

[msc hotline sat]

nI POR ESAS, SOLO HAY ESTAS CLAVES ATIPICAS, PERO SUPONGO QUE USAS hp...





O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} -C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEB utton\support.htm



O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEB utton\support.htm



O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} -C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEB utton\support.htm (HKCU)



O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEB utton\support.htm (HKCU)



saludos



ms, 6-11-2006

[carmen2305]

que si uso hp...

pues si, si tu lo dices...

mi ordenador es un compaq presario, no se si eso es de hp oque. :wink: ya ves que no estoy muy puesta en el tema...



pues que hago, elimino esas claves o no?

en cuanto a los archivos tbe y zip los he eliminado manualmente y se acabó.



Bueno, pues solo queda saber que hago con las claves, y creo que se terminó el problema, no?



MUCHISIMAS GRACIAS!!!!!!!!!

[msc hotline sat]

Desconocemos lo que pueden hacer estas claves, pero como que hacen referencia a HP ...



Mira lo que hay en este fichero:



C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEB utton\support.htm



abrelo con el navegador y saldras de dudas



y si no hay mas problemas, daremos el Tema por solucionado



saludos



ms, 7-11-2006

[carmen2305]

lo he abierto en el navegador y me pedia confirmacion para un active x. le he dicho que si... uff, todavia me tiemblan las piernas.

despues me sale una pantalla del norton en ROJO VIVO





--------------------------------



SE HA DETECTADO SCRIPT DAÑINO

RIESGO ALGO



el equipo esta detenido y debe tomar una decisión con respecto a este script

objeto: windows script host shell object

actividad: exec

archivo: iexplore.exe



------------------------------

he detenido el script (que no se lo que es por cierto, pero tu seguro que si)

se ha cerrado internet explorer.



Muy bueno no se si es... que opinas?

[msc hotline sat]

Nada bueno. Que lo detengan, que lo detengan... :lol:



Envianoslo si quieres y lo analizaremos



saludos



ms, 7-11-2006

[carmen2305]

ya lo he enviado.



Estoy a la espera



gracias

[msc hotline sat]

Mañana lo vemos, cuando reentremoa a trabajar :lol:



saludos



ms, 7-11-2006

[carmen2305]

ok.... :lol:

[msc hotline sat]

Me comentaron haber recibido cosas tuyas pero he estado en Madrid (simo) y mañana lines lo veré en Barcelona e informaremos:



saludos



ms, 12-11-2006



13112006MR

[msc hotline sat]

FALSA ALARMA DE NORTON !!!



El fichero enviado es un script que llama a un fichero de sistema:



____________________



<HTML>

<BODY>

<SCRIPT language="javascript" defer=true>

<!--



var gsNO_WCRIPT_ERROR='Executing the Help and Support requires \n' +

'the Windows Scripting Host, which is not installed on your System.\n'+

'You may download the Windows Scripting host from \n'+

'http://msdn.microsoft.com/scripting .'



var win = external.menuArguments;

try{

var WshShell = new ActiveXObject("WScript.Shell");





var oExec = WshShell.Exec("C:\\windows\\PCHEALTH\\HELPCTR\\Binaries\\Helpctr.exe /mode hcp://system/panels/HSCFullScreen.xml /url hcp://system/panels/InternetConnectionHelp.html");

}catch(ex){

win.alert(gsNO_WCRIPT_ERROR)



}

</SCRIPT>

</BODY>

</HTML>



___________________________







script que llama al fichero Helpctr.exe , que se ha pedido y ha resultado ser el del sistema...



NO PROBLEM.



saludos



ms, 14-11-2006

[carmen2305]

bueno... pues vaya susto me dió el norton oye.



Si esto está ok, entonces creo que hemos terminado con la historia, cuando tu quieras puedes cerrar.



Muchas gracias por la atención y por el tiempo. A ti y a todo tus compañeros que ayudan tambien.

[msc hotline sat]

A veces vale mas pecar por exceso ...



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 13-11-2006