Me sale el siguiente enlace en msn

javiber · Mensaje por **javiber** » 14 Feb 2007, 11:40

Hola, tengo un problema con el msn, esta mañana hablando con un amigo, en su ventana me salio el siguiente mensaje:

Da uma olhada nas fotos dessa festa... muito legal..

http://www.

y claro pensaba que era el que me mandaba algo, y lo abri, me sale un fichero zip, y dentro del zip, sale un fichero exe, que claro he ejecutado, y ya la he jodido.

Y luego hablando con mas gente, sigue saliendo en las ventanas de conversacion.

Sabeis algo?

Gracias

Mensaje por **msc hotline sat** » 14 Feb 2007, 11:58

HAY MAS DE 100 tEMAS EN ESTE FORO SOBRE VIRUS DE LA "OLHADA"

Mira si lo controla el ELISTARA o se trata de una nueva variante, en cuyo caso te pediriamos un HJT, de lo que ya hablariamos

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 14-02-2007

javiber · Mensaje por **javiber** » 14 Feb 2007, 12:25

Tue Jun 20 18:11:19 2006

EliTriIP v2.32 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.

Tue Jun 20 21:36:36 2006

EliStartPage v11.91 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jun 20 21:43:39 2006

EliStartPage v11.91 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

D:\_____J A V I_____\Pegaso\Taller_Pegaso\Despiece\IE\SPDETAILS.ASP^TAV=38&CAT=2611.HTM --> Eliminado, StartPage-DU (Pag.Ini)

D:\_____J A V I_____\Pegaso\Taller_Pegaso\Despiece\IE\SPDETAILS.ASP^TAV=41&CAT=2611.HTM --> Eliminado, StartPage-DU (Pag.Ini)

Sat Dec 02 21:09:20 2006

EliTriIP v2.83 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"

Thu Feb 01 17:18:40 2007

EliStartPage v13.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\ERSD.SYS --> Eliminado

Entrada Eliminada [HKCU\...\Run] "Error Safe"=""C:\Archivos de programa\Error Safe Free\ers.exe" /min"

Eliminada Class, "{647B8364-79E0-48E2-A4CA-233ABADA0C2D}" -> C:\Archivos de programa\Error Safe Free\ESSPChck.dll

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminada Carpeta "%Archivos de Programa%\Error Safe Free"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 01 17:28:26 2007

EliStartPage v13.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\MAGIX\Fotos_en_CD_DVD_40_e-version\photoeditor\BORLNDMM.DLL --> Eliminado, DownLoader.SXS

Thu Feb 01 17:52:31 2007

EliStartPage v13.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

D:\PROGRAMAS\SANTA_RIDE!_SETUP.EXE --> AutoExtraible

Thu Feb 01 18:25:51 2007

EliStartPage v13.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Feb 14 10:47:56 2007

EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Wed Feb 14 10:48:00 2007

EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

Mensaje por **lucl** » 14 Feb 2007, 12:49

pasa de nuevo el elistara en modo seguro y peganos el log otra vez, con el ultimo bastara mira que sea la fecha de hoy, te pego el link del modo seguro saludos

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Mensaje por **msc hotline sat** » 14 Feb 2007, 12:53

Pues al parecer no es de losregalitos en mensajes del MSN que ya conocemos, sino alguna nueva variante, pero no te preocupes, que para esto estamos :lol:

Posteanos el log del HJT y te pediremos ficheros potencialmente sospechosos para analizarlos, y en su caso, implementar su control y eliminacion en la version de hoy del ELISTARA que como cada día, estamos haciendo

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 14-02-2007

javiber · Mensaje por **javiber** » 14 Feb 2007, 14:53

este es el contenido del fichero q me ha creado HIJACKTHIS

Logfile of HijackThis v1.99.1

Scan saved at 13:56:27, on 14/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\Archivos de programa\Winamp\winampa.exe

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

C:\WINDOWS\system32\dllvirtual.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\WINDOWS\system32\WISPTIS.EXE

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\Notepad.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\jbb\Configuración local\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: TBSB00325 - {9062B774-47C1-4C47-83E5-B11FFD7B6FC9} - C:\ARCHIV~1\Gsearch\Search.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar4.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: GSearch - {BFB5F154-9212-46F3-B547-AC6106030A54} - C:\Archivos de programa\Gsearch\Search.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar4.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [wave bat first multi] C:\Documents and Settings\All Users\Datos de programa\amenclosewavebat\long regs.exe

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [McRegWiz] C:\ARCHIV~1\mcafee.com\agent\mcregwiz.exe /autorun

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

O4 - HKLM\..\Run: [MSKDetectorExe] C:\ARCHIV~1\McAfee\SPAMKI~1\MSKDetct.exe /startup

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\dllvirtual.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\ARCHIV~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe

O4 - HKCU\..\Run: [ref thunk] C:\DOCUME~1\jbb\DATOSD~1\INTERV~1\mixintrareadme.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} (InstallShield Setup Player 2K2) - http://av3m.telefonica.net/public/AntivirusOneClickInstall/setup.exe

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0FA3CEA4-5564-45B4-A12B-35F8D05F2646}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee SpamKiller Server (MskService) - Networks Associates Technology. Inc. - C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

GRACIAS

javiber · Mensaje por **javiber** » 14 Feb 2007, 15:10

pero me podeis decir de q se trata, de virus, de un gusano, es muy dañino?

q es lo q hace?

gracias

Mensaje por **msc hotline sat** » 14 Feb 2007, 17:19

De momento salta a la vista este fichero sospechoso:

C:\WINDOWS\system32\dllvirtual.exe

envianoslo segun indicamos y lo analizaremos y si da tiempo esta misma tarde, implementaremos su control y eliminacion en nuestras utilidades:

recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 14-02-2007

Mensaje por **msc hotline sat** » 14 Feb 2007, 17:24

Buscando informacion al respecto, efectivamente nuestras sospechas eran ciertas:

[quote]
Troj/Dadobra-IW

Spyware Trojan

Summary

Summary Description Recovery Advanced Prevalence: low high

Name Troj/Dadobra-IW

Type Spyware Trojan

Affected operating systems Windows

Side effects Steals information

Uses its own emailing engine

Downloads code from the internet

Records keystrokes

Installs itself in the Registry

Aliases Win32/TrojanDownloader.Dadobra.MP

Protection Download virus identity (IDE) file

Protection available since 3 February 2007 04:35:28 (GMT)

Detected by All versions of Sophos Anti-Virus

Included in our products from March 2007 (4.15)

More information on IDE files What are IDE files?

How to use IDE files

Get the latest IDE files

Description

Summary Description Recovery Advanced This section helps you to understand how it behaves

Troj/Dadobra-IW is a banking Trojan for the Windows platform.

Troj/Dadobra-IW includes functionality to capture keystrokes, send email, display bitmap images, access the internet and communicate with a remote server via HTTP.

Recovery

Summary Description Recovery Advanced This section tells you how to remove the threat.

Please follow the instructions for removing Trojans.

Advanced

Summary Description Recovery Advanced This section contains the description and advanced technical information

Troj/Dadobra-IW is a banking Trojan for the Windows platform.

Troj/Dadobra-IW includes functionality to capture keystrokes, send email, display bitmap images, access the internet and communicate with a remote server via HTTP.

When Troj/Dadobra-IW is first run, it installs one or more of the following registry entries:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion

Run

<System>\dllvirtual.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion

Run

<System>\dllvirtual.dll

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion

Run

<System>\dllvirtual.js

Troj/Dadobra-IW installs one or more of the following files:

<System>\dllvirtual.exe

<System>\dllvirtual.dll

<System>\dllvirtual.js
[/quote]

Se trata de un cazapasswords bancario que roba informacion de contraseñas para acceder a la cuenta bancaria y poder hacer transferencias... nada bueno !!!

Aparte de eliminarlo con la herramienta que haremos tan pronto tengamos la muestra solicitada, si tenia en este ordenador nuemors de cuenta, contraseñas o habia hecho transferencias bancarias desde este ordenador, cambie nuemeros de cuenta y contraseñas, pues sino se arriesga a que le "limpuen" su cuenta

Esperamos que llegue a tiempo !

saludos

ms, 14-02-2007

nota : y un resumen del mismo por otra parte:

[quote]
Troj/Dadobra-IW is a banking Trojan for the Windows platform.

Troj/Dadobra-IW includes functionality to capture keystrokes, send email, display bitmap images, access the internet and communicate with a remote server via HTTP.
[/quote]

javiber · Mensaje por **javiber** » 14 Feb 2007, 19:50

Estoy acojonado, con eso de q me pueden robar las claves de las cuentas bancarias.

He mandado el fichero q me habeis pedido, a ver si se me soluciona

muchas gracias

Mensaje por **msc hotline sat** » 14 Feb 2007, 20:02

Si, el virus se lo eliminaremos, pero las claves que hayan capturado, ya las tienen... Y no es broma !

De momento renombre este fichero a extension .VIR, y asi al reiniciar ya no se pondrá en marcha

Ahora ya está cerrado SATINFO y mañana se recibirá y analizará la muestra, para desarrollar la utilidad correspondiente de deteccion, control y eliminacion, pero desde el momento que renombre dicho fichero y reinicie, el bicho ya no estará en marcha, lo malo es que lo ha estado ...

Implementaremos su control en la version 13.34 del ELISTARA que subiremos mañana a esta web para evaluacion, tras descargarla pruebela y compruebe que le detecta y elimina el fichero aunque lo haya renombrado a .VIR

En la misma operacion eliminaremos claves correpondientes y demas modificaciones que hubiere hecho el marrano.

saludos

ms, 14-02-2007

javiber · Mensaje por **javiber** » 15 Feb 2007, 15:18

He renombrado el fichero q me dijeron, y no ha vuelto a salir el enlace en las ventanas del msn.

Si borro el fichero q puede ocurrir?, y si andan mas ficheros dando vueltas por el pc?

Otra cosa, hable con el banco, y me dijeron que de momento no clikee ningun codigo para acceder a la cuenta. Que los conodigos de seguridad y las claves no se almacenan en ningun lugar del pc.

Gracias

Mensaje por **lucl** » 15 Feb 2007, 15:24

de momento no borres nada, y cuando tengas la version 13.34 del elistara que te dice msc lo limpiara. la subiran hoy asi que estate atento y la pasas, que entonces ya te hara limpieza total, saludos.

Mensaje por **msc hotline sat** » 15 Feb 2007, 18:52

Una vez renombrado el fichero y reiniciado el ordenador, ya está aparcado, el problema es lo que pudo haber hecho en el pasado, si hizo alguna transferencia, compra por internet, o acceso a su cuenta. Pudo capturar el password y enviarlo al hacker, como tienen previsto hacer estos marranos.

saludos

ms, 15-02-2007

javiber · Mensaje por **javiber** » 16 Feb 2007, 18:49

Hola, pase el Elistara 13.34, como me indicaron, pero no detecto nada, el resultado fue de 0m infecciones, y claro ahora no se si sigo infectado o no. poruqe desde q renombre el fichero como me dijeron, no me ha vuelto a salir.

Respecto a las claves de acceso al banco. llamé por telefono para comentarlo, y me dijeron, q no habia en principio problema, q no se memoriza nada, ademas de q la informacion se envia encriptada, ya q no se teclea, si no q se clickea con el raton.

Gracias por la yuda.

___________________________________________________

INTERVENCION DE ZONAVIRUS: [url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]

aviso al respecto:

Mirar este Tema: https://foros.zonavirus.com/nuevos-cazapasswords-bancarios-y-sistema-de-capturar-datos-vt16712.html?highlight=

ms.

___________________________________________________

Nuker · Mensaje por **Nuker** » 16 Feb 2007, 19:14

No se si lo hayas hecho en modo seguro, pero lanzala de nuevo...

Modo Seguro:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Mensaje por **msc hotline sat** » 16 Feb 2007, 22:17

Como que hoy es viernes y no trabajo por la tarde, a la hora de irme no había llegado tu fichero, por lo que no sé si lo enviaste como indicamos:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

En cualquier caso, mejor que lo vuelvas a enviar como decimos, aunque sea con extension .VIR, da igual

Ya hay en el foro otros Temas de este virus, asi que se está propagando como era de temer, y cuando alguien logre enviarnos la muestra, la analizaremos, monitorizaremos su comportamiento y desharemos los cambios que haya hecho restauirando claves modificadas y eliminando ficheros creados, como hacemos para cada caso, y tras ello implementaremos su control y eliminacion en el ELISTARA con lo que cuando esté hecha la version correspondiente, podrás probarla y veras como te eliminará el fichero que ahora está aparcado con extension .VIR y lo que fuera necesario.

Espero que no tengas que preocuparte mas por ello, pero que te sirva de experiencia de no aceptar "regalitos" ni por MSN ni por mail...

saludos

ms, 16-02-2007