-
eslovo
- Mensajes: 8
- Registrado: 23 Feb 2007, 00:02
Mensaje
por eslovo » 23 Feb 2007, 00:10
EL OTRO DIA ABRI UN EJECUTABLE Y DESDE ENTONCES ME DESAPARECIÓ EL NORTON, Y YA NO PUEDO INSTALAR NINGUN ANTIVIRUS, INCLUSO EL WINDWS INSTALLER TAMPOCO.
OS RUEGO ME AYUDEIS, OS ENVIO LOS SIGUIENTES DATOS:
Logfile of HijackThis v1.99.1
Scan saved at 23:04:27, on 22/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\GAOV\Mysee Alert\Mysee Alert.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\WebcamMax\CAMTHINS.exe
C:\WINDOWS\vVX3000.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\ARCHIV~1\INCRED~1\bin\IMApp.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\jose\CONFIG~1\Temp\Rar$EX00.140\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elmundo.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar3.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [VVSN] C:\Archivos de programa\VVSN\VVSN.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Mysee Alert] "C:\Archivos de programa\GAOV\Mysee Alert\Mysee Alert.exe" -notray
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WebcamMaxMoniter] "C:\Archivos de programa\WebcamMax\CAMTHINS.exe" /m
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Archivos de programa\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Camfrog] "C:\Archivos de programa\Camfrog\Camfrog Video Chat\CamfrogNet.exe" 1 C:\Archivos de programa\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Traducción - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Archivos de programa\PROMT5\PROMTIE4\promtie5.htm
O9 - Extra 'Tools' menuitem: Traducir - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Archivos de programa\PROMT5\PROMTIE4\promtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Archivos de programa\PROMT5\PROMTIE4\options.htm
O9 - Extra 'Tools' menuitem: Ajustar la traducción - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Archivos de programa\PROMT5\PROMTIE4\options.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Traducción - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Archivos de programa\PROMT5\PROMTIE4\promtie5.htm (HKCU)
O9 - Extra 'Tools' menuitem: Traducir - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Archivos de programa\PROMT5\PROMTIE4\promtie5.htm (HKCU)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Archivos de programa\PROMT5\PROMTIE4\options.htm (HKCU)
O9 - Extra 'Tools' menuitem: Ajustar la traducción - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Archivos de programa\PROMT5\PROMTIE4\options.htm (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {53AF6E02-F18F-4228-AC13-3E79773FBE50} (CMCBooter Object) - http://download.mysee.com/plugin/booter.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172156012187
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar1.google.com/data/GoogleActivate.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} - http://a248.e.akamai.net/f/248/5462/2h/www.symantecstore.com/v2.0-img/operations/symbizpr/xcontrol/SymDlBrg.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - element5 - C:\Archivos de programa\Archivos comunes\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
-
Nuker
- Mensajes: 1556
- Registrado: 09 Oct 2006, 22:54
- Ubicación: Guadalajara, Jalisco
Mensaje
por Nuker » 23 Feb 2007, 00:19
Tiene malwares...
[color=red]Virus Burster[/color]:
C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
[color=red]Mysee[/color]:
O4 - HKLM\..\Run: [Mysee Alert] "C:\Archivos de programa\GAOV\Mysee Alert\Mysee Alert.exe" -notray
[color=red]When U[/color]:
O4 - HKLM\..\Run: [VVSN] C:\Archivos de programa\VVSN\VVSN.exe
---------------------------
Para esto lanza ELISTARA en modo seguro, guarda en tu escritorio la herramienta y la ejecutas en modo seguro, al terminar regrestae a modo normal y nos copias el log aqui como parte de tu respuesta, lo encuentras de esta manera:
C:\[b]infoSat.txt[/b] (copia y pega aqui)
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
[DJ eXploit]
-
eslovo
- Mensajes: 8
- Registrado: 23 Feb 2007, 00:02
Mensaje
por eslovo » 23 Feb 2007, 21:59
NO SE SI ES ESTO LO QUE ME PEDIAN, LANZE EL PROGRAMA EN MODO SEGURO Y AL ABRIR EL FICHERO INFO ,ME SALIO TODO LO DE ABAJO.
Fri Feb 23 11:25:31 2007
EliStration v3.4 (c)2007 S.G.H. / Satinfo S.L.
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"
Fri Feb 23 11:25:37 2007
EliStration v3.4 (c)2007 S.G.H. / Satinfo S.L.
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Exploración Detenida por el Usuario.
Fri Feb 23 16:20:13 2007
EliStration v3.4 (c)2007 S.G.H. / Satinfo S.L.
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"
Fri Feb 23 16:20:15 2007
EliStration v3.4 (c)2007 S.G.H. / Satinfo S.L.
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Fri Feb 23 16:26:05 2007
EliStration v3.4 (c)2007 S.G.H. / Satinfo S.L.
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Fri Feb 23 20:41:09 2007
EliStration v3.4 (c)2007 S.G.H. / Satinfo S.L.
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"
Fri Feb 23 20:41:10 2007
EliStration v3.4 (c)2007 S.G.H. / Satinfo S.L.
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Fri Feb 23 20:48:46 2007
EliStration v3.4 (c)2007 S.G.H. / Satinfo S.L.
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Exploración Detenida por el Usuario.
Fri Feb 23 20:53:48 2007
EliStration v3.4 (c)2007 S.G.H. / Satinfo S.L.
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"
Fri Feb 23 20:53:50 2007
EliStration v3.4 (c)2007 S.G.H. / Satinfo S.L.
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 23 Feb 2007, 22:08
Te bajaste el ELISTRAT y nuker te indicaba el ELISTARA:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
REPITE LA DESCARGA, LO PRUEBAS Y NOS POSTEAS DE NUEVO EL CONTENIDO DE C:\INFOSAT.TXT, gracias
saludos
ms, 23-02-2007
-
eslovo
- Mensajes: 8
- Registrado: 23 Feb 2007, 00:02
Mensaje
por eslovo » 23 Feb 2007, 22:26
AL REINICAR EL ORDENADOR PULSO F8 PARA INICIAR EN MODO SEGURO Y NO ME DEJA HACERLO.CREO QUE SOLO PUEDO HACERLO EN MSCONFIG, AHI ME DA LAS SIGUIENTES OPCIONES:
INICIO SELECTIVO
PROCESAR ARCHIVO SYTEM.INI SI O NO?
PROCESAR ARCHIVO WIN.INI SI O NO?
CARGAR SERVICIOS DE SISTEMA SI O NO?
CARGAR ELEMENTOS DE INICIO
USAR ARCHIVO BOOT.INI ORIGINAL.
EL PROBLEMA QUE TENGO ES QUE NO ME DEJA ARRANCAR EL ORDENADOR EN MODO SEGURO CUANDO PULSO F8, SE PUEDE DE OTRA MANERA?
INTENTE DESDE MSCONFIG EN LA PESTAÑA BOOT.INI MARQUE SAFEBOOT Y NO PODIA ARRANCAR EL ORDENADOR TUVE QUE HACERLO DESDE UN DISQUETE.
ESPERNADO RESPUESTA .... MUCHAS GRACIAS
-
eslovo
- Mensajes: 8
- Registrado: 23 Feb 2007, 00:02
Mensaje
por eslovo » 23 Feb 2007, 23:04
Fri Feb 23 21:50:49 200
YA LE HE PASASO EL PROGRAMA , YA ME DIREIS.
EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\ARCHIVOS DE PROGRAMA\GAOV\MYSEE ALERT\MYSEE ALERT.EXE --> Eliminado MySeeAlert
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Entrada Eliminada [HKLM\...\Run] "Mysee Alert"=""C:\Archivos de programa\GAOV\Mysee Alert\Mysee Alert.exe" -notray"
Eliminada Carpeta "%WinSys%\LogFiles"
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Fri Feb 23 21:52:08 2007
EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Archivos comunes\element5 Shared\Service\LICENCE MANAGER ESD.EXE --> Eliminado, Boonty Games
C:\Archivos de programa\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\PQDVD\PSPVideoExpress\BT-UNINST.EXE --> AutoExtraible
C:\Archivos de programa\pspvideo9\UNINST.EXE --> AutoExtraible
C:\Documents and Settings\jose\Escritorio\NIS06910ES.EXE --> AutoExtraible
C:\Documents and Settings\jose\Mis documentos\PROGRAMAS INSTALACION\NIS06910ES.EXE --> AutoExtraible
C:\Documents and Settings\jose\Mis documentos\PROGRAMAS INSTALACION\PSPVIDEO9_INSTALL.EXE --> AutoExtraible
C:\Documents and Settings\jose\Mis documentos\PROGRAMAS INSTALACION\PSP_VIDEO_EXPRESS.EXE --> AutoExtraible
C:\Documents and Settings\jose\Mis documentos\PROGRAMAS INSTALACION\SETUPDVDDECRYPTER_3.5.4.0.EXE --> AutoExtraible
AHORA QUE HAGO? GRACIAS
-
Nuker
- Mensajes: 1556
- Registrado: 09 Oct 2006, 22:54
- Ubicación: Guadalajara, Jalisco
Mensaje
por Nuker » 23 Feb 2007, 23:54
Pues actualize Windows, reinicie y nos comenta si hay cambio en su PC.
Windows Update:
https://support.microsoft.com/es-es/help/12373/windows-update-faq
Si siguieran los problemas haganolo saber y posteanos un nuevo log de HJT...Para limpiar restos.
Gracias.
[DJ eXploit]
-
eslovo
- Mensajes: 8
- Registrado: 23 Feb 2007, 00:02
Mensaje
por eslovo » 24 Feb 2007, 00:25
CUANDO INTENTO ACTUALIZAR WINDOWS, NO ME DEJA INSTALAR WINDOWS INSTALLER 3.1 Y SE DETIENE LA ACTUALIZACION. ABAJO HAGO OTRO LOG DE HJT.
Logfile of HijackThis v1.99.1
Scan saved at 23:27:04, on 23/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\WebcamMax\CAMTHINS.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\vVX3000.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\ARCHIV~1\INCRED~1\bin\IMApp.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Archivos de programa\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\jose\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elmundo.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Archivos de programa\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Camfrog] "C:\Archivos de programa\Camfrog\Camfrog Video Chat\CamfrogNet.exe" 1 C:\Archivos de programa\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Archivos de programa\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Traducción - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Archivos de programa\PROMT5\PROMTIE4\promtie5.htm
O9 - Extra 'Tools' menuitem: Traducir - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Archivos de programa\PROMT5\PROMTIE4\promtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Archivos de programa\PROMT5\PROMTIE4\options.htm
O9 - Extra 'Tools' menuitem: Ajustar la traducción - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Archivos de programa\PROMT5\PROMTIE4\options.htm
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Traducción - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Archivos de programa\PROMT5\PROMTIE4\promtie5.htm (HKCU)
O9 - Extra 'Tools' menuitem: Traducir - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Archivos de programa\PROMT5\PROMTIE4\promtie5.htm (HKCU)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Archivos de programa\PROMT5\PROMTIE4\options.htm (HKCU)
O9 - Extra 'Tools' menuitem: Ajustar la traducción - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Archivos de programa\PROMT5\PROMTIE4\options.htm (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {53AF6E02-F18F-4228-AC13-3E79773FBE50} (CMCBooter Object) - http://download.mysee.com/plugin/booter.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172265598937
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172269082312
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar1.google.com/data/GoogleActivate.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} - http://a248.e.akamai.net/f/248/5462/2h/www.symantecstore.com/v2.0-img/operations/symbizpr/xcontrol/SymDlBrg.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - Unknown owner - C:\Archivos de programa\Archivos comunes\element5 Shared\Service\Licence Manager ESD.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)
GRACIAS
-
Nuker
- Mensajes: 1556
- Registrado: 09 Oct 2006, 22:54
- Ubicación: Guadalajara, Jalisco
Mensaje
por Nuker » 24 Feb 2007, 00:45
Envianos muestra de esta:
C:\WINDOWS\[b]vVX3000.exe[/b]
Elimina esta en [b]MODO SEGURO[/b]:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O16 - DPF: {53AF6E02-F18F-4228-AC13-3E79773FBE50} (CMCBooter Object) - http://download.mysee.com/plugin/booter.cab
Mencionanos si ubicas esta entrada:
O4 - HKLM\..\Run: [LifeCam] "C:\Archivos de programa\Microsoft LifeCam\LifeExp.exe"
Como Enviar ?:
https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
[DJ eXploit]
-
eslovo
- Mensajes: 8
- Registrado: 23 Feb 2007, 00:02
Mensaje
por eslovo » 24 Feb 2007, 00:57
PERDONAD MI IGNORANCIA ( SE QUE ESTAMOS A PUNTO)
COMO ENVIO MUESTRA DE C:\WINDOWS\vVX3000.exe ?
Y COMO ELIMINO LAS DOS FILAS QUE ME DETALLAIS?
COMO UTILIZO EL BOOTER?
GRACIAS
-
Nuker
- Mensajes: 1556
- Registrado: 09 Oct 2006, 22:54
- Ubicación: Guadalajara, Jalisco
Mensaje
por Nuker » 24 Feb 2007, 01:06
Deje le explico:
Estas 2 filas son viricas lo de "booter" no se debe abrir es parte de la clave virica...De preferencia Guarde o anote las claves en un cuaderno o en el bloc de notas.
1-Entra en Modo Seguro.
2-Ejecuta HJT (HijackThis).
3-Haga click en "Do Scan Only".
4-Busque las claves que le di para eliminar.
5-Ya que las tenga marquelas en el recuadro.
6-Haga click donde dice "Fix Checked".
7-Le saldra un recuadro con una alerta de aceptar.
------------------------------
Para enviar esta muestra...
C:\WINDOWS\vVX3000.exe
1-Siga la ruta y ya que tenga el archivo en su poder siga las intrucciones de este apartado...
Como Enviar ?:
https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
NOTA: Para el envio necesitara decargar Winrar, debe quitar mientras hace el movimiento debe quitar el residente del Antivirus o cerrarlo...
WINRAR:
http://www.zonavirus.com/datos/descargas/106/Winrar.asp
[DJ eXploit]
-
eslovo
- Mensajes: 8
- Registrado: 23 Feb 2007, 00:02
Mensaje
por eslovo » 24 Feb 2007, 01:33
HE BORRADO LOS DAS FILAS QUE ME DIJERON, Y LES ENVIE POR MAIL LOS FICHEROS QUE ME DIJERON
GRACIAS.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 24 Feb 2007, 10:31
Pues el lunes, cuando volvamos al trabajo en SATINFO, examinaremos la muestra e informaremos, pero mientras puedes renombrarla a extension .VIR y tras reiniciar ya no seestará en uso, por si acaso...
Luego, en funcion de lo que sea, ya se eliminará con la utilidad que hagamos al respecto o se vuelve a renombrar a extension normal y listos
saludos
ms, 24-02-2007
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 26 Feb 2007, 14:09
Recibidas muestras corresponden a Microsoft Life cam, parte de aplicaciones de camara de video o fotos, no viricas
Renombre los ficheros a su extension original, y tras eliminar las claves indicadas por Nuker, vea si persiste algun problema y en cualquier caso nos indica el resultado, gracias
saludos
ms,, 26-02-2007
nota: en todo caso puede eliminar tambien esta clave:
O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} - http://a248.e.akamai.net/f/248/5462/2h/www.symantecstore.com/v2.0-img/operations/symbizpr/xcontrol/SymDlBrg.cab
msc hotline sat Virus Research Engineer