eliminar virus Da uma olhada nas fotos dessa festa...

[melina]

hola necesito ayuda para eliminar el virus Da uma olhada nas fotos dessa festa... esta pagina fue la que me aparecio http://www.koolpages.com/joana2007/img2007t.zip



Ya descargue el elistar se que se debe guardar en la carpeta de sitema c:/WINDOWS/system32 pero nose cual es esa carpeta intente guardarlo en el escritorio y lo descargue primero me aparecio que debia enviar un fichero a una cuenta pero no se de que fichero habla . Acepte y luego me aparecio RESTAURANDO REGISTRO DE SISTEMA y se queda asi y no pasa nada.



He visto en una pagina que debo Desactivar restaurar sitema e iniciar en modo seguro con simbolo de sistema . Se que para desactivar restaurar sistema tengo q ir al icono mi pc poner propiedades restaurar sistema y poner un check en desactivar restaurar sistema ahi tanbien dice que esto sirve para hacer seguimientos de cambios y revertirlos (osea q con solo poner el check en desactivar restaurar sistema y luego apagar el equipo se podria eliminar el virus) PERO LUEGO COMO HAGO PARA iniciar en modo seguro con simbolo de sistema .



Necesito mucho su ayuda porfavor..... :(



slds.

[Nuker]

Tranquila y sigue estos pasos]:



-Guarda ELISTARA en tu escritorio



-Entra en Modo Seguro



-Ejecuta ELISTARA en Modo Seguro



-Al terminar escaneo regresa a modo normal



-Copia contenido de este fichero (C:\[b]infoSat.txt[/b]) y pegalo aqui, para ver que ficheros le pide y que eliminó.



ELISTARA:



http://www.zonavirus.com/descargas/elistara.asp



Modo Seguro:



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

[lucl]

vayamos por partes,

1 elimina el elistara que has instalado

2 descargalo de nuevo, que estara mas actualizado a partir de las ocho y ponlo en el [b]escritorio[/b]

3 ejecutalo en modo seguro y acepta a todo que si

4 mediante copiar pegar, peganos el log aqui como respuesta y veremos si te elimina el virus o es una nueva version por lo que el mismo elistara te pedira muestra

5 cuando veamos si te pide muestra la envias del modo que te pondre en el link que ira debajo de esto

procede asi y terminaremos rapidamente con ello



http://www.zonavirus.com/descargas/elistara.asp



modo seguro



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



solo en caso de peticion de envio de muestras



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos

[lucl]

perdona nuker, que pedazo pisoton :oops:

[melina]

[quote="Nuker"]Tranquila y sigue estos pasos]:



-Guarda ELISTARA en tu escritorio



-Entra en Modo Seguro



-Ejecuta ELISTARA en Modo Seguro



-Al terminar escaneo regresa a modo normal



-Copia contenido de este fichero (C:\[b]infoSat.txt[/b]) y pegalo aqui, para ver que ficheros le pide y que eliminó.



ELISTARA:



http://www.zonavirus.com/descargas/elistara.asp



Modo Seguro:



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp[/quote]







ola hice lo que dijiste guarde el elistar en el escritorio luego inicie en modo seguro lo descargue pero me salio lo mismo que la primera vez primero me dijo q debia enviar un fichero q no se q es y luego aparecio restaurando registro de sistema y se quedo asi por mucho tiempo q debo hacer .....



ayudame



slds

[MrKogoyo]

Prueba Desactivando el Anti-Virus residente y Borrando los Archivos temporals de Internet

Un vez hecho eso Ejecuta una vez mas el EliStarA y ve si funciona



[b]Slds. !!

Mr.K[/b]

[melina]

como puedo desactivar el antivirus mcafee

[lucl]

hay algo que no me cuadra, el elistara [b]te estaba restaurando el registro del sistema?[/b] seguro que es eso? dinos por favor si es asi. saludos

[melina]

nop

[MrKogoyo]

[quote="melina"]como puedo desactivar el antivirus mcafee[/quote]

Pues haciendo click derecho sobre el icono de anti-virus, al lado del reloj en la barra de tareas, Te aperecera un menu despegable, y debes dar a "salir" o "cerrar"



[b]Slds. !!

Mr.K.[/b]

[Nuker]

Lo se por eso te pusimos peganos el log de ELISTARA...



Para ver de que fichero se trata y donde esta para asi darte direcciones de envio.



Peganos el log porfavor.



Lo encuentras de esta manera:



C:\[b]infoSat.txt[/b]

[melina]

Thu Feb 15 17:49:48 2007

EliStartPage v13.34 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AUWINLOGON]

Por favor, envienos una muestra del fichero

C:\WinLogon\AUWINLOGON.DLL

a "virus@satinfo.es". Gracias.

Restaurado WinSock2 (LSPs) -> (NewDotNet o Roogoo)

Entrada Eliminada [HKLM\...\Run] "msnsyslog"="C:\WINDOWS\msnappm.exe"

Entrada Eliminada [HKLM\...\Run] "New.net Startup"="rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s"

Entrada Eliminada [HKCU\...\Run] "WhenUSave"=""C:\Archivos de programa\Save\Save.exe""

Eliminada Class, "{147A976E-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminada Class, "{4508E20C-ACAD-11D2-9FC0-00550076E06F}" -> C:\Archivos de programa\2search\2search.dll

Eliminada Class, "{4E7BD74F-2B8D-469E-90F0-F66AB581A933}" -> NULL1

Eliminada Class, "{8CBA1B49-8144-4721-A7B1-64C578C9EED7}" -> C:\Archivos de programa\SideFind\sidefind.dll

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Class, "{A3FDD654-A057-4971-9844-4ED8E67DBBB8}" -> C:\Archivos de programa\SideFind\sfbho.dll

Eliminada Class, "{DECEAAA2-370A-49bb-9362-68C3A58DDC62}" -> C:\WINDOWS\Downloaded Program Files\SAIX.dll



Thu Feb 15 18:27:14 2007

EliStartPage v13.34 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AUWINLOGON]

Por favor, envienos una muestra del fichero

C:\WinLogon\AUWINLOGON.DLL

a "virus@satinfo.es". Gracias.

Entrada Eliminada [HKLM\...\Run] "msnsyslog"="C:\WINDOWS\msnappm.exe"



Fri Feb 16 17:47:59 2007

EliStartPage v13.34 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AUWINLOGON]

Por favor, envienos una muestra del fichero

C:\WinLogon\AUWINLOGON.DLL

a "virus@satinfo.es". Gracias.

Entrada Eliminada [HKLM\...\Run] "msnsyslog"="C:\WINDOWS\msnappm.exe"



Fri Feb 16 18:52:35 2007

EliStartPage v13.34 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AUWINLOGON]

Por favor, envienos una muestra del fichero

C:\WinLogon\AUWINLOGON.DLL

a "virus@satinfo.es". Gracias.

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Entrada Eliminada [HKLM\...\Run] "msnsyslog"="C:\WINDOWS\msnappm.exe"



Tue Feb 20 13:15:58 2007

EliStartPage v13.34 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AUWINLOGON]

Por favor, envienos una muestra del fichero

C:\WinLogon\AUWINLOGON.DLL

a "virus@satinfo.es". Gracias.

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"



Tue Feb 20 14:47:00 2007

EliStartPage v13.37 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AUWINLOGON]

Por favor, envienos una muestra del fichero

C:\WinLogon\AUWINLOGON.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DLLVIRTUAL.EXE --> Eliminado Spy.Banker.BYU

Entrada Eliminada [HKLM\...\Run] " "="C:\WINDOWS\system32\dllvirtual.exe"

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"



Tue Feb 20 15:34:20 2007

EliStartPage v13.37 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AUWINLOGON]

Por favor, envienos una muestra del fichero

C:\WinLogon\AUWINLOGON.DLL

a "virus@satinfo.es". Gracias.

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

[Nuker]

Pues como ve ahi esta el fichero que le solicita, envielo para limpiar los restos que queden de este.







Enviar:

C:\WinLogon\AUWINLOGON.DLL



Lo encuentras de esta manera:



Mi pc/Unidad C/Winlogon....



Desactiva residente de antivirus para enviarlo si no se lo interceptara.



Como Enviar ?:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Renombre el fichero para su seguridad a .vir

Ejemplo (AUWINLOGON.DLL -----> AUWINLOGON.VIR)



Reiniceie y postenos su log de HJT para verificar procesos.



Abre programa, Scan and Save Log file, copia contenido de bloc y lo pega aqui.



HJT:

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

[melina]

este de arriba es el log de ELISTARA ??

[Nuker]

Asi es....





Tue Feb 20 14:47:00 2007

[b]EliStartPage[/b] v13.37 (c)2007 S.G.H. / Satinfo S.L.



EliStarPage = ELISTARA

[lucl]

el que tu pusiste si, el de nuker no, y lo del hijackthis es algo nuevo que te pedimos



[b]¿Como utilizar el Hijackthis ?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema



· http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp[/b]

Lo descargas dando en el link que te he puesto



Tras analizarlo, informaremos. y trata de enviar lo que te ha pedido nuker para que puedan analizarlo y asi ayudarte cuanto antes

[melina]

Logfile of HijackThis v1.99.1

Scan saved at 16:18:25, on 20/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe

C:\IBMTOOLS\UTILS\ibmprc.exe

C:\Archivos de programa\IBM\Updater\jre\bin\javaw.exe

C:\WINDOWS\system32\NILaunch.exe

C:\Archivos de programa\Macrogaming\SweetIM\SweetIM.exe

C:\Archivos de programa\freebird\vEmotion\vEmotion.exe

C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe

C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.exe

C:\Archivos de programa\Ares\Ares.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Automatic Update\AutoUpdate.exe

C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\SiteAdvisor\6028\SAService.exe

C:\WINDOWS\System32\svchost.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Automatic Update\Components\Kernel\2.5P211.1_CO\AmadeusLauncher.exe

C:\Documents and Settings\amadeus\Mis documentos\Unzipped\hijackthis[1]\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://br.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://br.search.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - - (no file)

R3 - URLSearchHook: (no name) - _{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.dll

O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Archivos de programa\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)

O2 - BHO: ToolHelper Class - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\DOCUME~1\amadeus\ESCRIT~1\MYEMAI~1\toolbar.dll (file missing)

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Archivos de programa\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)

O3 - Toolbar: My EmailEmoticons Toolbar - {D5A5A2C7-7C4C-4a60-B507-B62932CE6ADD} - C:\Documents and Settings\amadeus\Escritorio\My Email Emoticons Toolbar\toolbar.dll (file missing)

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [UC_Start] C:\Archivos de programa\IBM\Updater\\ucstartup.exe

O4 - HKLM\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\\ibmmessages.exe

O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe

O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\system32\NILaunch.exe

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [StartFoxie] C:\Archivos de programa\Foxie Suite\StartFoxie.exe

O4 - HKLM\..\Run: [WOPVideos] "C:\Archivos de programa\WopVideo Player\WopTorrent.exe" -icontray

O4 - HKLM\..\Run: [2Search] C:\Archivos de programa\2search\main.exe

O4 - HKLM\..\Run: [SweetIM] C:\Archivos de programa\Macrogaming\SweetIM\SweetIM.exe

O4 - HKLM\..\Run: [vEmotion] C:\Archivos de programa\freebird\vEmotion\vEmotion.exe

O4 - HKLM\..\Run: [ImageShackUtil] C:\Archivos de programa\ImageShack\QuickShot\QuickShot.exe

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PRONoMgrWired] C:\Archivos de programa\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.exe

O4 - HKCU\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe

O4 - HKCU\..\Run: [SweetIM] C:\Archivos de programa\Macrogaming\SweetIM\SweetIM.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Iniciar guiños Messenger.lnk = ?

O4 - Global Startup: Messenger Power Plus 8.1.lnk = C:\Archivos de programa\MSN Messenger\msnmsgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: MSN Black Ice Messenger 7.1.lnk = C:\Archivos de programa\MSN Messenger\blackice-msnmsgr.exe

O4 - Global Startup: MSN Ipod Messenger 7.1.lnk = C:\Archivos de programa\MSN Messenger\ipod-msnmsgr.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll

O9 - Extra 'Tools' menuitem: Consola de IBM Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [JAVA_IBM] Java (IBM)

O15 - Trusted Zone: http://*.amadeusproweb.com

O15 - Trusted Zone: http://toolbar.imageshack.us

O15 - Trusted Zone: http://*.amadeusproweb.com (HKLM)

O15 - Trusted Zone: http://*.central (HKLM)

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

O15 - Trusted Zone: http://www.e-savtravel.com (HKLM)

O15 - Trusted Zone: http://www.e-savtravel.net (HKLM)

O15 - Trusted Zone: http://www.jdmdatway.com (HKLM)

O15 - Trusted Zone: http://*.jdmsis12 (HKLM)

O16 - DPF: {051FE707-9706-11D5-A836-000102A7C938} (Amadeus Automatic Update) - http://amadeusproweb.com/AutomaticUpdate/AutoUpdateATL.CAB

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {227C49B4-7F83-4BC7-B243-F24511842808} (ocxRegistroUsuario.ucRegistroUsuario) - https://www.e-savtravel.com/peru/ocxRegistroUsuario.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://tefilove.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5DAEF053-DEF0-4752-A963-CCE9B49B0B79} (Gogs Class) - http://blog.naver.com/common/item/nbgm.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1165954647828

O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} - http://www.nick.com/common/groove/gx/GrooveAX27.cab

O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://filelodge.bolt.com/ImageUploader3.cab

O16 - DPF: {B80F9FCE-DFDD-4A2A-8AA9-E05C6B7D4ED3} (SWToolBar Class) - http://www.smileyworld.com/toolbar/SmileyWorld.cab

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/virtools.download.akamai.com/6712/player/install3.0/installer.exe

O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab?4cc078cbcec491536c4769346d2a5a022865a7bc304d005833c6ae9e1b63ff0437ed0a1ea38d5fc7aebf71de843ba77b15022f82acf2f3fd4eac8997f3:f3b45f5a073274eee53541421d6ed125

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{90FF8413-CCE8-4DFD-A30D-4BD2950C1BCD}: NameServer = 200.48.225.130,200.48.225.146

O17 - HKLM\System\CS1\Services\Tcpip\..\{90FF8413-CCE8-4DFD-A30D-4BD2950C1BCD}: NameServer = 200.48.0.37,200.48.0.38

O17 - HKLM\System\CS2\Services\Tcpip\..\{90FF8413-CCE8-4DFD-A30D-4BD2950C1BCD}: NameServer = 200.48.225.130,200.48.225.146

O17 - HKLM\System\CS3\Services\Tcpip\..\{90FF8413-CCE8-4DFD-A30D-4BD2950C1BCD}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.dll

O20 - Winlogon Notify: AUWinLogon - C:\WINDOWS\SYSTEM32\AUWinLogon.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Amadeus Automatic Update - Amadeus - C:\Archivos de programa\Automatic Update\AutoUpdate.exe

O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)

O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Archivos de programa\SiteAdvisor\6028\SAService.exe

[melina]

ese log Hijack indica q ya no tengo el virus?

[Nuker]

--- Envia fichero como te pedi y renombra a .vir ---



ELIMINA ESTAS BASURAS EN MODO SEGURO:



R3 - URLSearchHook: (no name) - - (no file)

R3 - URLSearchHook: (no name) - _{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)



O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Archivos de programa\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)

O2 - BHO: ToolHelper Class - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\DOCUME~1\amadeus\ESCRIT~1\MYEMAI~1\toolbar.dll (file missing)



O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Archivos de programa\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)

O3 - Toolbar: My EmailEmoticons Toolbar - {D5A5A2C7-7C4C-4a60-B507-B62932CE6ADD} - C:\Documents and Settings\amadeus\Escritorio\My Email Emoticons Toolbar\toolbar.dll (file missing)



ELIMINA ESTAS TAMBIEN:



O15 - Trusted Zone: http://*.amadeusproweb.com

O15 - Trusted Zone: http://toolbar.imageshack.us

O15 - Trusted Zone: http://*.amadeusproweb.com (HKLM)

O15 - Trusted Zone: http://*.central (HKLM)

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

O15 - Trusted Zone: http://www.e-savtravel.com (HKLM)

O15 - Trusted Zone: http://www.e-savtravel.net (HKLM)

O15 - Trusted Zone: http://www.jdmdatway.com (HKLM)

O15 - Trusted Zone: http://*.jdmsis12 (HKLM)



**Te recomiendo Desinstalar el MSN PLUS 3 Por tu seguridad (es foco de adwares)**

[melina]

si hice eso le cambie el nombre a AUWINLOGON.VIR pero como era un archivo no reconocido por mi computadora lo envia a la direccion zonavirus@satinfo.es adjuntado porque no podia abrirlo y pegarlo en en la direccion esa

[melina]

hola solo quiero saber si el virus de la olhada ya esta completamenta eliminado



gracias por ayudarme en todooo..



slds

[MrKogoyo]

[quote="melina"]hola solo quiero saber si el virus de la olhada ya esta completamenta eliminado



gracias por ayudarme en todooo..



slds[/quote]

Pues eso lo tendrias que decir tu ¿no?



Dinos si el problema persiste



[b]Slds. !!

Mr.K.[/b]

[msc hotline sat]

Pues NO ! En el log del HJT está presente:



O20 - Winlogon Notify: AUWinLogon - C:\WINDOWS\SYSTEM32\AUWinLogon.dll



Si nos has enviado dicho fichero lo analizaremos y en su caso implementaremos su control y eliminaicon en el proximo ELISTARA



Y sino, aunque sea renombrado, envianoslo !!!:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



saludos



ms, 21-02-2007

[melina]

hola quisiera enviar correctamente el auwinlogon ya le cambie el nombre a auwinlogon.VIR pero no lo puedo abrir po q no es un archivo de texto , no esta reconosido por mi computadora por eso no puedo copiar y pegar el contenido de la carpeta a la direccion de correo y lo unico q se me ocurrio fue adjuntarlo estaria bien si lo adjunto denuevo?



slds

[lucl]

hola melina, cuando lo enviaste? porque igual lo han recibido esta tarde, de todos modos repasate esto en caso de problemas sigue estos consejos



SOLICITUD DE MUESTRAS





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.





si hay problemas en el envio:



Para que el envio no sea interceptado por los antivirus, desactivando el antivirus residente o arrancando en modo seguro, empaquetar el fichero infectado en un ZIP o RAR con password "VIRUS" y asi se encriptará de manera que nadie lo detecte



y aunque lo hayas enviado como adjunto si has puesto tu nick como referencia no creo que haya problemas , saludos

[melina]

hola yo no lo envie esta tarde lo envie la tarde de ayer lo que hice fue como no se podia abrir el archivo lo intente abrir con bloc de notas pero al abrirlo salieron letras como estas (Ë_¤¤ª1÷¤ª1÷¤) entonces lo cerre y lo envie adjuntado , hice mal en cambiarlo con bloc de notas .Talvez es por eso q sale como si aun tuviera el virus o no tiene nada q ver?

no me fije si el antivirus estava desactivado pero supongo q si por q si no no ubiera llegado

[msc hotline sat]

Nada de Abrir el fichero !!! Simplemente se ha de anexar al mail que envias, como se indica en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



Y dicho archivo, si esta empaquetado en un ZIP o RAR con password VIRUS, mejor



saludos



ms, 22-02-2007