MENSAJE SOSPECHOSO....AYUDA POR FAVOR...... (SOLUCIONADO)

BRANCO · Mensaje por **BRANCO** » 25 Ene 2007, 21:41

Tengo el avast....

Lo que pasa es que mi antivirus me notifica a cada rato una ventana que dice ¡mensaje Sospechoso! y algo así como "demasidos e mails .....tiempo determinado"

Le he pasado el spybot , el ccleaner y no sé cuántos más pero nada...........estoy desesperado.....a ver si alguién me puede echar una mano por favor.

Os paso la lectura del hijackthis a ver si me podéis decir si he de pasarle el fixchecked y a cual.

Scan saved at 20:08:53, on 25/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

C:\WINDOWS\system32\sistray.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\Labtec\Desktop\V5.1\kbdap32a.exe

C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\Archivos de programa\Labtec\Desktop\V5.1\moffice.exe

C:\Archivos de programa\Labtec\Desktop\V5.1\MOUSE32A.EXE

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe

c:\archivos de programa\pinnacle\shared files\programs\mediaserver\pmshost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\PACO\AboutBuster_esp\AboutBuster.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\DESCARGAS\COMPLETAS\hijackthis_v1.98.2_+_manual_spanish\HijackThis.exe

C:\WINDOWS\system32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:2323

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [OFFICEKB] C:\Archivos de programa\Labtec\Desktop\V5.1\kbdap32a.exe

O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Labtec\Desktop\V5.1\moffice.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\ccleaner.exe" /AUTO

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144059770343

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

Saludos

Mensaje por **lucl** » 25 Ene 2007, 21:50

hola pasate un antivirus on line mientras te miramos el log de hijackthis,

https://www.eset.es/analisis-online/

y prueba el elistara tambien

http://www.zonavirus.com/descargas/elistara.asp

y nos copias el log que te genera en c:infosat.txt

saludos.

Mensaje por **lucl** » 25 Ene 2007, 21:53

de momento fix a esto

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

y seguimos mirando, saludos.

Nuker · Mensaje por **Nuker** » 25 Ene 2007, 21:55

Elimina estas claves en modo seguro:

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

Y se ve que tienes el AVG recuerda que causan conflictos tener 2 antivirus, procede a desinstalarlo por completo.

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

Si ya no lo tienes procede a eliminar esta tambien.

Esta la desconozco ~~[b]~~NO la elimines[/b], si la conoces informanos de que es:

C:\PACO\AboutBuster_esp\AboutBuster.exe

Reinica maquina y comentanos resultado.

Mensaje por **lucl** » 25 Ene 2007, 21:57

esta puede ser un antispy o algo de eso?

C:\PACO\AboutBuster_esp\AboutBuster.exe

he visto algo de eso en google nuker pero que lo confirme el. saludos.

Nuker · Mensaje por **Nuker** » 25 Ene 2007, 22:03

Si como dices lucl efectivamente es un limpiador sin intensiones maliciosas NO ELIMINAR. Y esperamos a que haga lo propuesto por los 2.

BRANCO · Mensaje por **BRANCO** » 25 Ene 2007, 22:03

AboutBuster es un programa para detectar y eliminar spywares de la pagina de inicio.

Muchisimas gracias por vuestro interés........

estoy pasando el elistara.......

y voy a hacer lo que me estáis indicando.

Gracias.

BRANCO · Mensaje por **BRANCO** » 25 Ene 2007, 22:06

Resultado Elistara:

Thu Jan 25 21:02:33 2007

EliStartPage v13.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"

Thu Jan 25 21:05:50 2007

EliStartPage v13.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Sierra\Counter-Strike\esf\UNINSTALL.EXE --> AutoExtraible

BRANCO · Mensaje por **BRANCO** » 25 Ene 2007, 22:19

LUCL,

No he podido pasar el antivirus porque me sale un mensaje que no me reconoce el IE 7.

"Control failed to load. Are you using Internet Explorer 4.0 or above?"

Salu2

BRANCO · Mensaje por **BRANCO** » 25 Ene 2007, 22:21

Bueno LUCL y NUKER,

Ya he borrado las dos que me habéis dicho........y he eliminado el AVG.

Salu2

BRANCO · Mensaje por **BRANCO** » 25 Ene 2007, 22:37

Esto es lo que me sale

Me sale constantemente pero diferentes remitentes, destinatarios y asunto.

Avast! aviso de virus.

Mensaje sospechoso!

hay demasidos e-mails similares en el tiempo especificado

Remitente: "Temel Session" <salaza@jacksonemc.com>

Destinatario: "Karol Durbin" <dbisotto@email.msn.com>

Asunto: Re: RXvetHay demasidos e-mails similares en el tiempo especificado

Remitente: "Calliope Calderwood" <martiriy@harris-sheaffer.com>

Destinatario: "Karol Durbin" <dbisotto@email.msn.com>; "Gwenda Norby" <dbissidi@yahoo.fr>

Asunto: Re: RXvetHay demasidos e-mails similares en el tiempo especificado

Remitente: "Althea Parada" <amau@mail2mauritius.com>

Destinatario: "Karol Durbin" <dbisotto@email.msn.com>; "Gwenda Norby" <dbissidi@yahoo.fr>; "Jaleh Fricke" <dbisr@acoges.com>

Asunto: Re: RXvetHay demasidos e-mails similares en el tiempo especificado

Remitente: "Eili Baucom" <emawiener@paradigmgeo.com>

Destinatario: "Karol Durbin" <dbisotto@email.msn.com>; "Gwenda Norby" <dbissidi@yahoo.fr>; "Jaleh Fricke" <dbisr@acoges.com>; "Malakai Troupe" <dbispo@rexelusa.com>

Asunto: Re: RXvetHay demasidos e-mails similares en el tiempo especificado

Remitente: "Maurycy Buxton" <farlever@sabre-holdings.com>

Destinatario: "Karol Durbin" <dbisotto@email.msn.com>; "Gwenda Norby" <dbissidi@yahoo.fr>; "Jaleh Fricke" <dbisr@acoges.com>; "Malakai Troupe" <dbispo@rexelusa.com>; "Ivo Lheureux" <dbisram@blgcanada.com>

Asunto: Re: RXvet

BRANCO · Mensaje por **BRANCO** » 25 Ene 2007, 22:52

He reiniciado pero sigue igual.

me tiene hasta los eggs el p**o virus o lo que sea.

Salu2.

Mensaje por **lucl** » 25 Ene 2007, 23:19

Hola, a ver, pasate el elitriip en modo seguro

http://www.zonavirus.com/descargas/elitriip.asp

si no encuentra nada vuelve a pasar el elistara en modo seguro tambien, si te da el log limpio, lanza hijackthis en modo seguro por si algo se esconde.

te recuerdo

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

venga y nos pegas los resultados, suerte y animo!! venceremos ya veras :D

Nuker · Mensaje por **Nuker** » 25 Ene 2007, 23:33

Sabes ya estoy dudando si es virus, puede que sea simple spam y avast por seguridad te los este detectando. Prueba metiendote a tu email, bloquea todas las direcciones (remitentes) y borra los mensajes que te llegaron, pero recuerda de bloquear las direcciones. Comentanos resutado.

BRANCO · Mensaje por **BRANCO** » 26 Ene 2007, 00:56

Bueno,

He hecho todo cuánto me habéis dicho.

Resultado de elistara y elistri en modo seguro:

Thu Jan 25 22:41:32 2007

EliTriIP v3.09 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Corel\Suite8\Programs\Viewers\SCCUT.DLL --> Eliminado, BackDoor.CMQ (dropper)

C:\WINDOWS\SiSport.sys --> Eliminado, RootKit

Thu Jan 25 22:51:28 2007

EliStartPage v13.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Sierra\Counter-Strike\esf\UNINSTALL.EXE --> AutoExtraible

He revisado el correo y no he visto nada anormal en principio.

Al final he desinstalado el Avast y lo he vuelto a instalar y por arte de magia se ha solucionado............al menos de momento( no sé si le encontráis una explicación lógica....)

Habéis sido muy, pero que muy amable..........

Díficil de encontrar gente como vosotros........he tenido suerte.

Muchas gracias, de verás.

Un saludo..........y también un abrazo c**o.jajaja

BRANCO

Nuker · Mensaje por **Nuker** » 26 Ene 2007, 01:35

Pues te detecto dos virus un troyano y un rootkit, tiene mucho que ver eso. Pues felicidades, esperemos a que lo den por solucionado. Saludos.

BRANCO · Mensaje por **BRANCO** » 26 Ene 2007, 01:50

Pues seguro que han sido los dos virus esos.......

Gracias.

un cordial saludo.

BRANCO

Mensaje por **msc hotline sat** » 26 Ene 2007, 08:08

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 26-01-2007