Cosa extraña en mi red

[superinternet]

Tengo un cafe internet y desde hace varios dias se empieza a cortar la señal de internet en todas las pc´s y al restablecerse con el ipconfig o el winipc se instala con una pagina de T1msn.



Las manejo con la imagen de Ghost de Norton para cuando esten desconfiguradas o similar y en algunas pc's al restaurarse y activar el internet explorer, salen con la mencionada pagina, aunque ponga cualquier otra y quede ésta como pagina predeterminada, vuelve a ponerse la de T1msn.



El ad-aware no detecta nada, ni el antivir XP, ni el pqremove aun corriendose en modo seguro, el spyware doctor, detecto a unos agentes extraños, pero como lo corrí en version de prueba tengo que pagar para que los elimine supuestamente, pero no se que tan efectivo sea.



Me pueden ayudar?. En los equipos con XP. en el usurio de Administrador no sale esta pagina, pero en cualquier otro usuario que se cree, se pone esta pag, de T1, aunque elimine el usuario y lo vuelva a crear. Es muy molesto esto.



Gracias por todo.

[msc hotline sat]

Prueba el ELISTARA y nos posteas luego el contenido del C:\infosat.txt

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp


saludos
ms, 7-4-2006

[superinternet]

Les anexo copia de resultados de ELISTARA ya corrido:





Mon Apr 17 13:53:45 2006

EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Apr 17 13:54:47 2006

EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Symantec\Web Tools\WTPLUG.DLL --> Eliminado, AdClicker.BW

C:\RECYCLER\NPROTECT\00007997.DLL --> Eliminado, AdClicker.BW



Mon Apr 17 14:06:38 2006

EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Apr 17 14:41:01 2006

EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Apr 17 15:05:37 2006

EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Apr 17 15:10:25 2006

EliStartPage v11.48 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE





Esto fue en el usuario de Administrador. En el usuario que usa el publico en general salio un mensaje de posible infeccion de SPAM-MAILBOT y que reiniciara y escaneara en modo seguro,arrojando cero resultados.



Ya se limpio la pc? si es asi para correr el Elistara en el resto de las pc's, o se volvera a infectar èsta si es que esta ya limpia?



Muchas gracias x todo

[msc hotline sat]

Pues de buena te has librado, porque el SPAM-MAILBOT es casi indetectable, se esconde, oculta, se instala en WinLOGON y se pone en marcxha antes que nada, por ello debes arrancar en modo seguro y lanzar el ELISTARA para eliminarlo.

Si no lo haces asi, persistirá, pùes nada salvo el ELISTARA, que sepamos, lo detecta en modo normal, y evidentemente tampoco lo eliminan.

Hazlo en modo seguro e infomanos del resultado, gracias

saludos

ms, 11-4-2006

[Esperpento]

Estoy consciente de que este post casi cumple un año,pero un amigo de otro foro - slotinformaticos - me refirio a el y espero que sepan disculparme al mismo tiempo que me brindan la ayuda que necesito.El asunto va asi,sospecho que tengo uno de los bichos que tenia el amigo que abrio este post.porque es el mismo nombre que me indica McAfee y por mas intentos que hago no puedo eliminarlo,limpiarlo ni ponerlo en cuarentena.Ahora bien e intentado descargar la version actualisada de "

EliStarA 13.09 " pero pr alguna razon que desconosco no logro descargarla,ya una ves descargada dicha version el procedimiento siguiente tengo un poco de nocion de como se sigue.

ESpero encarecidamente vuestra ayuda.

[msc hotline sat]

Pues mira de descargar de nuevo el ELISTARA de este link:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos

ms, 15-01-2007

nota: acabo de probarlo y he sido el usuario 291144 que lo he bajado satisfactoriamente, asi que prueba de nuevo ... ms-

[Esperpento]

Que torpe,lo siento mucho disculpen,la verdad es que no habia revisado la pagina hasta abajo,intentaba descargarla desde el comienzo de la pagina y por eso no iba,ya la descargue y voy a pasarle una limpiadita profunda a mi ordenador.Gracias por la respuesta tan rapida mi pana.como hago para poder visualizar :C:\infosat.txt.

Un saludo.

[msc hotline sat]

Para ver el infosat.txt abre el bloc de notas selecciona C: y pulsa encima del infosat.txt



Luego seleccionalo todo (CTRL-E) , copialo al portapepales (CTRL-C) y lo pegas como respuesta a este Tema en tu proximo post (CTRL-V)



saludos



ms, 15-01-2007

[Esperpento]

Jolines tronko te las sabes de todas todas :



Mon Jan 15 11:47:35 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\WLOGON] -> C:\WINDOWS\SYSTEM32\SRVC.DLL

C:\WINDOWS\SYSTEM32\SRVC.DLL --> DownLoader Renombrado a .VIR

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 15 11:51:19 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 15 11:52:36 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\LIMEWIREWIN.EXE --> AutoExtraible

C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\SecondLife\UNINST.EXE --> AutoExtraible



Mon Jan 15 12:05:04 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 15 12:05:09 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\LIMEWIREWIN.EXE --> AutoExtraible

C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\SecondLife\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\Invitado\Escritorio\SECOND LIFE 1-11-3-1 SETUP.EXE --> AutoExtraible

C:\Documents and Settings\Invitado\Mis documentos\LEMONADE TYCOON 2 NEW YORK CITY EDITION BY PEERANIA.COM.COM --> AutoExtraible

C:\WINDOWS\system32\SRVC.DLL.VIR --> Eliminado, DownLoader



Mon Jan 15 13:47:07 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 15 13:47:29 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\LIMEWIREWIN.EXE --> AutoExtraible

C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\SecondLife\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\Invitado\Escritorio\SECOND LIFE 1-11-3-1 SETUP.EXE --> AutoExtraible

C:\Documents and Settings\Invitado\Mis documentos\LEMONADE TYCOON 2 NEW YORK CITY EDITION BY PEERANIA.COM.COM --> AutoExtraible

Esto es lo que aparecio.Que bueno eres macho,me alegro de que Malvinas me haya dado el links para este foro,total que de las cosas malas siempre es posible obtener un beneficio de ellas cuando se mantiene una mente alerta.

[Esperpento]

y este e log de HijackThis :



Logfile of HijackThis v1.99.1

Scan saved at 21:25:05, on 15/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\STacSV.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\Notepad.exe

C:\WINDOWS\system32\Notepad.exe

C:\Documents and Settings\Jacobo\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: (no name) - {C466966B-1062-01F5-3B69-85557F2FACE9} - C:\DOCUME~1\Jacobo\DATOSD~1\COPYDO~1\skipbind.exe (file missing)

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Archivos de programa\Intel Audio Studio\IntelAudioStudio.exe" BOOT

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [HomeKeyLogger] C:\Archivos de programa\HomeKeylogger\KeyLogger.exe

O4 - HKLM\..\Run: [Ulead Photo Express Verificador de Calendario] C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe

O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

O4 - HKLM\..\Run: [bait find for coal] C:\Documents and Settings\All Users\Datos de programa\admin site bait find\Bib Multi.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [drv loud] C:\DOCUME~1\Jacobo\DATOSD~1\WAITTI~1\Chictool.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Accoona - res://C:\Archivos de programa\Accoona\atoolbar.dll/SEARCHMENU.HTM

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150288872015

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\STacSV.exe



Vale ?

[msc hotline sat]

Envianos este fichero para analizar:



CC:\Archivos de programa\HomeKeylogger\KeyLogger.exe



C:\Documents and Settings\All Users\Datos de programa\admin site bait find\Bib Multi.exe



C:\DOCUME~1\Jacobo\DATOSD~1\WAITTI~1







Elimina estas claves:



R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch



O2 - BHO: (no name) - {C466966B-1062-01F5-3B69-85557F2FACE9} - C:\DOCUME~1\Jacobo\DATOSD~1\COPYDO~1\skipbind.exe (file missing)



O8 - Extra context menu item: &Accoona - res://C:\Archivos de programa\Accoona\atoolbar.dll/SEARCHMENU.HTM



O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)



O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)









recuerda : https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 16-01-2007



nota: especial atencion con el fichero KEYLOGGER.EXE del que pedimos muestra...(es voluntario ???)

[Esperpento]

Bien varias cosillas .

1) a veces cometemos errores porque nos da pena dar a conocer nuestra ignorancia,por esa razón te hice la consulta en privado,asi que te pido disculpas y creelo que no se vuelve a cometer.

2) la mera neta es que necesitaria saber como poderte enviar esas muestras puesto que el principal-tal ves el unico- beneficiario sea yo ¿ podrias asesorame indicandome la forma para podertelas enviar ?

Un abrazo.

[msc hotline sat]

viewtopic.php?f=2&t=45334

Anexa el fichero que nos quieras enviar a un mail como indicamos y envialo.

saludos

ms, 18-01-2007

[Esperpento]

:oops: Lo siento mucho,pero todavia no he alcanzado ese nivel de empaquetar algo en un ZIP o en un RAR, esta muy alto el nivel :shock: conosco el nombre de los ficheros citados pero hasta alli nomas llegan mis conocimientos.de todos modos gracias por las sujerencias.

Un abrazo.

PD busque en google y halle una guia que posiblemente me saque de mi ignorancia,lo voy a estudiar y cuando lo tenga claro,envio las muestras.

[msc hotline sat]

Pues todo se aprende una primera vez...



Indicas añadir ficheros, activas modo avanzado, le indicas que lo proteja con paswword y para el mismo utiliza el nombre de VIRUS



Asi lo hacemos todos.



saludos



m,s,. 18-01-2007

[Esperpento]

En otro orden de cosas estoy revisando mi pc archivos de programas y no encuentro este : "

CC:\Archivos de programa\HomeKeylogger\KeyLogger.exe " sin deseo de guasa ni de coña me inclino ante tu sapiencia,puesto que no puedo encontrarlos por mas que los miro y tu con solo ver el post hjt y de ELISTART HAS PODIDO ENCONTRAR UN PROGRAMA QUE YA HACE VARIOS MESES habia eliminado.

[msc hotline sat]

Es nuestra faena, y tras analizar varias decenas de miles, saltan a la vista casi sin mirar... Pero nos facilita mucho la faena las utilidades, y aun no no es suficient el HJT y tenemos en desarrollo el SPROCES que es un HJT potenciado, que genera su log y nos ayuda ONLINE en muchas claves que ya identifica su procedencia



Enviamos las muestras indicadas y las analizaremos, y si no las encuentras, dinoslo y eliominaremos las claves inutiles, gracias



saludos



ms, 19-01-2007

[Esperpento]

:oops: Estoy conciente de que el mayor beneficiario seria yo si analizaras las muestras que me pides ,en caso de que logre enviartelas,porque como te repito por la ruta d: MI PC:ARCHIVOS DE PROGRAMAS no logro encontrar dichos archivos,recuierda que a veces tenemos ojos y no podemos very este es uno de los casos,sinceramente se que me ayudarias muchisimo si recibieras lo que me pides ,a ver que tal si para una comunicacion fluida me agregas a tu msn..

[msc hotline sat]

No se atiende particularmente, solo en el foro, para aprivechamiento de todos.



y vea lo indicado en :



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 21-01-2007

[Esperpento]

Estoy de acuerdo contigo,y gracias por indicarme la ruta para poder hallar esos archivos que busco.Ya hice todo lo indicado en el post que citas ,luego procedi a entrar a miPC :archivos de programas:busque aqui los archivos de HOMEKEYLOGGER pero sigo sin encontrarlos,de paso te comento que hace como unos 6 meses que - pense - lo elimine.Este en cambio : "

C:\Documents and Settings\All Users\Datos de programa\admin site bait find\Bib Multi.exe " lo logre hallar bajlas pautas que me indicastes pero lamentablemente no lo puedo abrir,por mas intentos que hice y este : " C:\DOCUME~1\Jacobo\DATOSD~1\WAITTI~1 " definitivamente tampoco logro hallarlo.

Un abrazo.

[msc hotline sat]

Pues la clave debia ser un resto no eliminado.





Eliminala:



O4 - HKLM\..\Run: [HomeKeyLogger] C:\Archivos de programa\HomeKeylogger\KeyLogger.exe



y tras ello, reinicia y dinos si persiste algun problema, para poder dar por solucionado el Tema, gracias



saludos



ms, 23-01-2007

[Esperpento]

Siento mucho la tardanza,no estaba en la ciudad,pero aqui esta el post de HJT :Logfile of HijackThis v1.99.1

Scan saved at 7:36:48, on 27/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Autodata Limited Shared\Service\ADCDLicSvc.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\STacSV.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe

C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe

C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Jacobo\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: (no name) - {C466966B-1062-01F5-3B69-85557F2FACE9} - (no file)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Archivos de programa\Intel Audio Studio\IntelAudioStudio.exe" BOOT

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [Ulead Photo Express Verificador de Calendario] C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe

O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

O4 - HKLM\..\Run: [bait find for coal] C:\Documents and Settings\All Users\Datos de programa\admin site bait find\Bib Multi.exe

O4 - HKLM\..\Run: [kav] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [drv loud] C:\DOCUME~1\Jacobo\DATOSD~1\WAITTI~1\Chictool.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150288872015

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Archivos de programa\Archivos comunes\Autodata Limited Shared\Service\ADCDLicSvc.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\STacSV.exe

Solo quedariamos con estos dos restos,creo que eso son porque no logro encontrarlos:

C:\Documents and Settings\All Users\Datos de programa\admin site bait find\Bib Multi.exe



C:\DOCUME~1\Jacobo\DATOSD~1\WAITTI~1

de los cuales tampoco encuentro la ruta ,logro llegaren el primer caso hasta All Users y en el segundo hasta Jacobo,pero de alli en adelante no encuentro datos de programa etec,etc,etc.

[msc hotline sat]

Del log elimina esta otra clave:



O2 - BHO: (no name) - {C466966B-1062-01F5-3B69-85557F2FACE9} - (no file)



y de los ficheros que no encuentras, una vez llegado a la ruta, es posible que no los veas por estar ocultos o con atributos de sistema, aplica lo indicado en :



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



y sea como sea, tras eliminar la última clave y reiniciar ddinos si persiste algun problema, pues si ya no es el caso, deja estar los ficheros que igual no son malwares.



saludos



ms, 27-01-2007