tengo el virus del msm (SOLUCIONADO)

GINEBRA · Mensaje por **GINEBRA** » 16 Feb 2007, 10:40

Enfim achei a tua foto aqui essa é hilária huahuahua, http://<interceptado>foto.jpg

me entro por el msm

esto es lo que me aparece cuando voy a copiar y pegar algo.... soy nula en estos temas asi que a ver si alguien me puede ayudar

gracias

Mensaje por **msc hotline sat** » 16 Feb 2007, 11:28

Es un nuevo cazapasswords bancario que aun no detectan ni NOD32, ni McAfee, ni e-trust, ni sophos, ni Symantec, ni F.prot, entre otros, y que pasamos a controlar y eliminar con el ELISTARA de hoy 13.35

saludos

ms, 16-02-2007

Mensaje por **msc hotline sat** » 16 Feb 2007, 17:39

Ya se ha subido el ELISTARA 13.35 que controla y elimina este troyano:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 16-02-2007

GINEBRA · Mensaje por **GINEBRA** » 20 Feb 2007, 12:38

esto es lo q me aparece...

Mensaje por **lucl** » 20 Feb 2007, 12:58

debes poner el log como respuesta al tema mediante la opcion copiar pegar, lo pegas aqui, es que si lo envias pierde estructura, se entrevee que te ha eliminado varias cosas y parece que tienes que actualizar el pc , asi que lanza un windows update y peganos el log del elistara por favor. gracias, saludos

Mensaje por **msc hotline sat** » 20 Feb 2007, 13:21

Solo buscando puntualmente el BANLOAD, propio de este Tema, he podido ver, dentro del fichero agregado, su eliminacion:

FOTO[1].SCR --> Eliminado, BanLoad (dldr)

Pero como dice lucl, si no lo postea copiando y pegando, se pierde la estructura del fichero y no es viable examinarlo

Mejor abra el fichero con el NOTEPAD, seleccione su contenido con CTRL_E, copielo al protapapeles con CTRL_C, y peguelo en su proximo post con CTRL_V , gracias

saludos

ms, 20-02-2007

GINEBRA · Mensaje por **GINEBRA** » 20 Feb 2007, 23:46

he intentado hacer lo q me dices, he abierto el fichero y he seguido las intrucciones para posterarlo pero no me deja copiar y pegar... siempre me sale esto

Enfim achei a tua foto aqui essa é hilária huahuahua, http://<interceptado>/foto.jpg

Nuker · Mensaje por **Nuker** » 20 Feb 2007, 23:58

Intentaste esto ? :

Mi pc\Unidad C\infosat.txt

Abres, seleccionas contenido, click derecho, copiar, y pegar aqui como parte de tu respuesta...

Lanzo Windows Update ?:

Windows Update:

https://support.microsoft.com/es-es/help/12373/windows-update-faq

GINEBRA · Mensaje por **GINEBRA** » 21 Feb 2007, 00:37

si, he hecho eso mismo pero sigue apareciendo esto.....

Enfim achei a tua foto aqui essa é hilária huahuahua, http://<interceptado>/foto.jpg

___________

INTERVENCION DE ZONAVIRUS: [url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]

no postees mas links de descarga viricos !!!

___________

Mensaje por **msc hotline sat** » 21 Feb 2007, 06:06

Pues arranca en modo seguro y renombra etodos los ficheros que encuentres buscando FOTO*.SCR , a FOTO*.VIR , y tras reiniciar normalmente ya se supone que, PROVISIONALMENTE, se habrá puesto fuera de circulacion al malware.

Tras ello mira de postearnos el contenido de c:\infosat.txt en la forma indicada

saludos

ms, 21.02.2007

y si no, como que veo que estaba en temporales de Internet, descarga el ELITEMPO.EXE y luego arranca en modo seguro y lo lanzas:

ELITEMPO

http://www.zonavirus.com/datos/descargas/70/EliTempo.asp

y en cualquier caso, nos comentas el resultado, gracias

MrKogoyo · Mensaje por **MrKogoyo** » 21 Feb 2007, 19:04

[quote="GINEBRA"]si, he hecho eso mismo pero sigue apareciendo esto.....

Enfim achei a tua foto aqui essa é hilária huahuahua, http://<interceptado>/foto.jpg

___________

INTERVENCION DE ZONAVIRUS: [url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]

no postees mas links de descarga viricos !!!

___________[/quote]

Pues procedo a pegar el InfoSat.txt

++++

Tue Feb 20 09:41:36 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"

ALERTA. WindowsUpdate Incompleto.

Tue Feb 20 09:41:58 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Roxio Shared\SharedCOM\CPSNAVIGATIONBARCONTROL.DLL --> Eliminado, 180Solutions

C:\Archivos de programa\Microsoft AntiSpyware\GCASCLEANER.EXE --> Eliminado, DownLoader.VF

C:\Archivos de programa\Microsoft Works\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Archivos de programa\Microsoft Works\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\Content.IE5\E7QAR43B\FOTO[1].SCR --> Eliminado, BanLoad (dldr)

C:\SWSETUP\MSWorks\SP\PFiles\MSWorks\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\SWSETUP\MSWorks\SP\PFiles\MSWorks\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\SWSETUP\VIDEO\IGFXPPH.DLL --> Eliminado, NetNucleus (BHO)

C:\SWSETUP\VIDEO\Win2000\IGFXPPH.DLL --> Eliminado, NetNucleus (BHO)

C:\SWSETUP\WLAN\BCMWLS32.EXE --> Eliminado, Hotbar

C:\WINDOWS\system32\IGFXPPH.DLL --> Eliminado, NetNucleus (BHO)

Tue Feb 20 09:52:25 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 09:59:34 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:00:50 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:03:36 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:04:23 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:05:07 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:07:03 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:07:43 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:08:28 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:09:09 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:10:15 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:11:20 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:13:00 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:14:35 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:15:17 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:16:06 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:16:45 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:17:32 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:18:16 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 20 10:19:02 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Ademas Actualiza tu Windows

~~[b]~~Slds. !!

Mr.K.[/b]

Mensaje por **msc hotline sat** » 21 Feb 2007, 19:16

Como que el BANLOAD es uin downloader, ES POSIBLE QUE SE BAJARA ALGUN MALWARE QUE NO CONOCEMOS

Si persiste el mensaje de

[quote]
pero sigue apareciendo esto.....

Enfim achei a tua foto aqui essa é hilária huahuahua, http://<interceptado>/foto.jpg
[/quote]

en tal caso, posteenos log del HJT:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 21-02-2007

GINEBRA · Mensaje por **GINEBRA** » 22 Feb 2007, 01:50

adjunto archivo log con los resultados de la ejecucion

GINEBRA · Mensaje por **GINEBRA** » 22 Feb 2007, 01:51

disculpas!

Nuker · Mensaje por **Nuker** » 22 Feb 2007, 01:55

Donde esta ?

GINEBRA · Mensaje por **GINEBRA** » 22 Feb 2007, 01:58

[quote="Nuker"]Donde esta ?[/quote]

ya lo he subido!, lo ves?

Nuker · Mensaje por **Nuker** » 22 Feb 2007, 02:04

Recuerda que los logs tales como ELISTARA y HJT no se suben por que pierden estructura y es imposible su lectura...Solo copia contenido del bloc de notas al hacer el do system scan and save log file, y lo copias aqui como parte de tu respuesta, no importa lo largo que este sea... Gracias.

GINEBRA · Mensaje por **GINEBRA** » 22 Feb 2007, 02:07

[quote="Nuker"]Recuerda que los logs tales como ELISTARA y HJT no se suben por que pierden estructura y es imposible su lectura...Solo copia contenido del bloc de notas al hacer el do system scan and save log file, y lo copias aqui como parte de tu respuesta, no importa lo largo que este sea... Gracias.[/quote]
verás, el problema es que no puedo pegar, selecciono el texto completo y cuando doy clic derecho pegar, aparece el mensaje del malnacido que ha creado el troyano, o lo que sea lo que tengo! Qué puedo hacer?. gracias

Nuker · Mensaje por **Nuker** » 22 Feb 2007, 02:10

Selecciona texto y haces esto:

Ctrl+C

Te vienes a la pagina de respuesta del foro y haces esto:

Ctrl+V

Asi deberia de pegarte el log.

GINEBRA · Mensaje por **GINEBRA** » 22 Feb 2007, 02:14

[quote="Nuker"]Selecciona texto y haces esto:

Ctrl+C

Te vienes a la pagina de respuesta del foro y haces esto:

Ctrl+V

Asi deberia de pegarte el log.[/quote]

.... verás lo que pego tras haber hecho el seleccionar texto, dar control c y luego dar control-v

Enfim achei a tua foto aqui essa é hilária huahuahua, http://<INTERCEPTADO>/foto.jpg

___________

INTERVENCION DE ZONAVIRUS: [url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]

no postees mas links de descarga viricos !!!

___________

Nuker · Mensaje por **Nuker** » 22 Feb 2007, 02:16

Bien no te preocupes edita el mensaje para que no salga el link porfavor y procedere a armar el log.. no tardo saludos...

Nuker · Mensaje por **Nuker** » 22 Feb 2007, 02:21

Perdon pero esta demasiado grande si voy a tardar mucho. Busca mi perfil agregame al msn o mandeme el log por mail y lo pego aqui yo. Perdon por tantas danzas.

Nuker · Mensaje por **Nuker** » 22 Feb 2007, 02:26

Log de HJT (GINEBRA):

Logfile of HijackThis v1.99.1

Scan saved at 0:37:56, on 22/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec

Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Norton Internet Security\Norton

AntiVirus\navapsvc.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Archivos de programa\Spyware Doctor\sdhelp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe

C:\Archivos de programa\Norton Internet Security\Norton

AntiVirus\SAVScan.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\Archivos de programa\Hp\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\HP\QuickPlay\QPService.exe

C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE

Basic\Monitor.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Windows\system\firefox.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de

programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Archivos de programa\Spyware Doctor\swdoctor.exe

C:\Archivos de programa\OpenOffice.org 2.0\program\soffice.exe

C:\Archivos de programa\OpenOffice.org 2.0\program\soffice.BIN

C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security

Console\NSCSRVCE.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\Notepad.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Usuario\CONFIG~1\Temp\Rar$EX00.032\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://busca.wanadoo.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

http://busca.wanadoo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.vodafone.es/Vodafone/ParticularesPS/ParticularesHome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} -

C:\WINDOWS\iDialer\Wanadoo Turbo\pbhelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -

C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: Norton Internet Security 2006 -

{9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos

comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos

de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -

c:\archivos de programa\google\googletoolbar4.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} -

C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O3 - Toolbar: Norton Internet Security 2006 -

{0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos

comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} -

C:\Archivos de programa\Norton Internet Security\Norton

AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos

de programa\google\googletoolbar4.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut]

CHDAudPropShortcut.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de

programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hp\HP

Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de

programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Archivos de programa\hpq\HP

Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [QPService] "C:\Archivos de

programa\HP\QuickPlay\QPService.exe"

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Archivos de programa\HPQ\Quick Launch

Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\HPQ\Default

Settings\cpqset.exe

O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe

O4 - HKLM\..\Run: [Reminder] C:\Windows\CREATOR\Remind_XP.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft

AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec

Shared\ccApp.exe"

O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Archivos de programa\Ulead

Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

O4 - HKLM\..\Run: [firefox.exe] C:\Windows\system\firefox.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN

Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de

programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware

Doctor\swdoctor.exe" /Q

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Archivos de

programa\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Inicio rápido de HP Photosmart Premier.lnk =

C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de

programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -

C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

%windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -

{e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network

Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de

programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O12 - Plugin for .UVR: C:\Archivos de programa\Internet

Explorer\Plugins\NPUPano.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172011198500

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

"C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) -

Symantec Corporation - C:\Archivos de programa\Norton Internet

Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation -

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de

programa\Norton Internet Security\comHost.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de

programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. -

C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

Corporation - C:\Archivos de programa\Archivos

comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service

(LightScribeService) - Hewlett-Packard Company - C:\Archivos de

programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: LiveUpdate - Symantec Corporation -

C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) -

Symantec Corporation - C:\Archivos de programa\Norton Internet

Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec

Corporation - C:\Archivos de programa\Archivos comunes\Symantec

Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation -

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation -

C:\Archivos de programa\Norton Internet Security\Norton

AntiVirus\SAVScan.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty

Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec

Corporation - C:\Archivos de programa\Archivos comunes\Symantec

Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation -

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de

programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Nuker · Mensaje por **Nuker** » 22 Feb 2007, 02:38

Pasate esta herramienta en Modo Seguro...

ELITRIIP, copias log y me lo mandas para pegarlo...

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Vuelve a pasar de nuevo ELISTARA en modo seguro.. y me mandas el nuevo log.

Nuker · Mensaje por **Nuker** » 22 Feb 2007, 03:10

Log ELITRIIP (GINEBRA) :

Thu Feb 22 02:01:47 2007

EliTriIP v3.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Thu Feb 22 02:01:55 2007

EliTriIP v3.22 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\HP\Digital Imaging\{E5A8DDAB-AE80-48C6-A75B-D0FAB83B299D}\autorun.inf --> Eliminado, DownLoader.Horst (inf)

C:\Archivos de programa\HP\Temp\{E5A8DDAB-AE80-48C6-A75B-D0FAB83B299D}\autorun.inf --> Eliminado, DownLoader.Horst (inf)

C:\Archivos de programa\HP\Temp\{FA13DC9A-ECB8-460A-BD53-4FE072F13F0A}\autorun.inf --> Eliminado, DownLoader.Horst (inf)

C:\SWSETUP\BTOOTH\Autorun.inf --> Eliminado, DownLoader.Horst (inf)

C:\SWSETUP\QPW\Autorun.inf --> Eliminado, DownLoader.Horst (inf)

C:\SWSETUP\SonicDMP\MYDVD_62\AUTORUN.INF --> Eliminado, DownLoader.Horst (inf)

Mensaje por **msc hotline sat** » 22 Feb 2007, 06:40

Aviso a GINEBRA:

En tu post "Publicado: Jue Feb 22, 2007 2:14 am "

hemos vuelto a interceptar tu edicion de un link de acceso al virus

INTERVENCION DE ZONAVIRUS: [url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]

no postees mas links de descarga viricos !!!

___________

Se te ha avisado anteriormente en este Tema que no publicaras mas links viricos.

Si vuelves a reincidir serás desconectado del foro sin mas avisos !

saludos

ms, 22-02-2007

Mensaje por **msc hotline sat** » 22 Feb 2007, 06:47

Hay algo que sobresale a primera vista del log del HJT:

C:\Windows\system\firefox.exe

esta carpeta no es la de sistema y es muy posible que este firefox.exe de esta carpeta sea uin malware.

Envianos muestra del mismo para analizar:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 22-02-2007

GINEBRA · Mensaje por **GINEBRA** » 24 Feb 2007, 10:43

como no me deja copiar y pegar te lo he mandado por correo electronico

Mensaje por **msc hotline sat** » 24 Feb 2007, 11:14

Así se indica que debes hacerlo :lol: :lol: :lol:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 24-02-2007

Mensaje por **msc hotline sat** » 26 Feb 2007, 14:02

Habiendose recibido con referencia "makuca" que no corresponde a ningun forero ? un firefox.txt que resulta ser un exe y que es un PWS se implementa en el proximo ELISTARA 13.41, lo cual se comenta en este Tema por haber un firefox.exe sospechoso y poder tratrarse de lo mismo

Los que quieran probarlo, esta noche a partir de las 20h estara subido a esta web para evaluacion.

Si lo hacen, posteen luego el contenido de c:\infosat.txt gracias

saludos

ms, 26-02-2007

tengo el virus del msm (SOLUCIONADO)

tengo el virus del msm (SOLUCIONADO)

la odisea continua

me faltó el archivo

yata!

el problema sigue ahi