virus Msn!, luego problema con INETKW.DLL

_gemini_ · Mensaje por **_gemini_** » 04 Dic 2006, 21:47

bueno les comento que hace unos dias que tengo el virus de messenger que da un mensaje en las ventanas de conversacion (en portuges), luego de buscar por el foro me di cuenta de que varios tenian el mismo problema, si que use el nombrado "ELISTARA"...

y creo q soluciono el probelma del virus, pero eso provoco un problema aun mayor y de echo mucho mas molesto.

cada 1 minuto, me sale una ventana de error que dice C:\ARCHIV~1\INTERN~\inetkw.dll, el cual es bastante molesto ya que van kedando en la barra de inicio e interfieren mientas estoy escribiendo...

porfavor ayudenme!!

Mon Dec 04 16:00:43 2006
EliStartPage v12.85 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\ICPLDRVX.EXE --> PWS-Banker Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\INETKW.DLL.Muestra EliStartPage v12.85
 a "virus@satinfo.es".  Gracias.
C:\ARCHIV~1\INTERN~2\INETKW.DLL --> Eliminado 
Entrada Eliminada [HKLM\...\Run] "msbb"="c:\archivos de programa\n-case\msbb.exe"
Entrada Eliminada [HKLM\...\Run] "Avg Antivirus"="C:\WINDOWS\system32\icpldrvx.exe"
Eliminada Class, "{046D6EA4-15E3-4B27-8010-45BD78A9219E}" -> C:\ARCHIV~1\INTERN~2\inetkw.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Dec 04 16:02:32 2006
EliStartPage v12.85  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\ICPLDRVX.EXE.VIR --> Eliminado.
Eliminados Ficheros Temporales del IE

	  Mon Dec 04 16:02:55 2006
EliStartPage v12.85  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\.DLL --> Eliminado, CommonName
C:\Archivos de programa\.EXE --> Eliminado, CommonName
C:\Archivos de programa\CNML.EXE --> Eliminado, CommonName
C:\Archivos de programa\Delta\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Guitar Pro 5\rse\fx\fmod\DSP_LOWPASS.DLL --> Eliminado, Dumaru BDoor-CCT
C:\Archivos de programa\Image-Line\FL Studio 6\OPENASIO.DLL --> Eliminado, CommanderNET (BHO)
C:\Archivos de programa\Image-Line\FL Studio 6\Plugins\Fruity\Generators\Sytrus\SYTRUS.DLL --> Eliminado, Spy.Delf (BHO)
C:\Archivos de programa\Internet Keyword\IKW.EXE --> AutoExtraible
C:\Archivos de programa\MotoModders\P2kCommander\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\NINJAM\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Webteh\BSplayer\UNINSTALL.EXE --> AutoExtraible
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\Edox\programas otros\BSPLAYER137.826.EXE --> AutoExtraible
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\Edox\programas otros\LEOSLYRICSPLUGIN5V1.2.EXE --> AutoExtraible
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\Edox\programas otros\LEOSLYRICSPLUGIN5V1.3.EXE --> AutoExtraible
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\Edox\programas otros\NINJAM006-INSTALL.EXE --> AutoExtraible
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\Edox\programas otros\SLSK156C.EXE --> AutoExtraible
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\Edox\programas otros\USAFLYFF_6THSETUP.EXE --> AutoExtraible
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\Edox\programas otros\guitar\REAPER10B4-INSTALL.EXE --> AutoExtraible
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\juegos emus\PSX\epsxe\DELTA201SETUP.EXE --> AutoExtraible

	  Mon Dec 04 16:27:49 2006
EliStartPage v12.85  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Saludos.

Mensaje por **msc hotline sat** » 04 Dic 2006, 21:55

De entrada se le pide que envie muestras de:

"Por favor, envienos una muestra del fichero
C:\Muestras\INETKW.DLL.Muestra EliStartPage v12.85 "

lo ha hecho ???

recuerde: viewtopic.php?f=2&t=45334

y no es por culpa del elistara, sino gracias a él que podrá eliminarlo !!!

esperamos recibir la muestra ...

saludos
ms, 4-12-2006

Mensaje por **msc hotline sat** » 05 Dic 2006, 19:53

Subida nueva version del ELISTARA con control del INETKW.DLL -> viewtopic.php?f=11&t=15165

Tras probarla, cuentenos el resultado, gracias

saludos
ms, 5-12-2006

hedemar · Mensaje por **hedemar** » 05 Dic 2006, 21:23

gracias tenia el mismo problema vere que pasa y comento :)

Mensaje por **msc hotline sat** » 06 Dic 2006, 14:22

Pues ya sabes:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms,

_gemini_ · Mensaje por **_gemini_** » 11 Dic 2006, 19:19

Tue Dec 05 23:30:34 2006
EliStartPage v12.86 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Exploración):
C:\INETKW.DLL --> Eliminado, CommonName
C:\Archivos de programa\Delta\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Internet Explorer\INETKW.DLL --> Eliminado, CommonName
C:\Archivos de programa\Internet Keyword\IKW.EXE --> AutoExtraible
C:\Archivos de programa\MotoModders\P2kCommander\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\NINJAM\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Webteh\BSplayer\UNINSTALL.EXE --> AutoExtraible
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\Edox\programas otros\BSPLAYER137.826.EXE --> AutoExtraible
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\Edox\programas otros\LEOSLYRICSPLUGIN5V1.2.EXE --> AutoExtraible
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\Edox\programas otros\LEOSLYRICSPLUGIN5V1.3.EXE --> AutoExtraible
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\Edox\programas otros\NINJAM006-INSTALL.EXE --> AutoExtraible
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\Edox\programas otros\SLSK156C.EXE --> AutoExtraible
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\Edox\programas otros\USAFLYFF_6THSETUP.EXE --> AutoExtraible
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\Edox\programas otros\guitar\REAPER10B4-INSTALL.EXE --> AutoExtraible
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\juegos emus\PSX\epsxe\DELTA201SETUP.EXE --> AutoExtraible
C:\Muestras\INETKW.DLL.MUESTRA ELISTARTPAGE V12.85 --> Eliminado, CommonName

ese es el log luego de usar Elistara....

aki va el Log del hiJackthis

Logfile of HijackThis v1.99.1
Scan saved at 14:21:57, on 11-12-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\ARCHIV~1\INTERN~2\inetmgr.exe
C:\WINDOWS\system32\lrdsvr.exe
C:\WINDOWS\system32\intdrv.exe
C:\ARCHIV~1\INTERN~2\inetsvc.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Documents and Settings\Fami Venagas Ramírez\Escritorio\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O4 - HKLM\..\Run: [inetmgr] C:\ARCHIV~1\INTERN~2\inetmgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [H2O] C:\Archivos de programa\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [svcSystem] C:\WINDOWS\system32\lrdsvr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Archivos de programa\Valve\Steam.exe -silent
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Por favor, ojala traten de solucionar el problema, ya que a otro usuario como ven, le paso lo mismo.

Salu2!! y gracias

Mensaje por **msc hotline sat** » 11 Dic 2006, 19:33

Enviarnos muestra de:

C:\ARCHIV~1\INTERN~2\inetmgr.exe
C:\WINDOWS\system32\lrdsvr.exe
C:\WINDOWS\system32\intdrv.exe
C:\ARCHIV~1\INTERN~2\inetsvc.exe

Y elimine estas claves:
O4 - HKLM\..\Run: [inetmgr] C:\ARCHIV~1\INTERN~2\inetmgr.exe
O4 - Startup: PowerReg Scheduler.exe

recuerde: viewtopic.php?f=2&t=45334

saludos
ms, 11-12-2006