NECESITO AYUDA!!!!! un virus me esta comiendo (SOLUCIONADO)

janychile · Mensaje por **janychile** » 26 Feb 2007, 20:51

Hola, soy nueva aqui y necesito ayuda detalladamente para poder entender.

mi ordenador esta lento, pierdo la conexión a internet y cada vez que trato de ingresar a una web me dice que no se puede mostrar la página.

no se que hacer y me van a matar.

Que hago? :oops: :oops: :oops: :oops: :oops: :oops:

AQUI ESTA MI LOG...

Logfile of HijackThis v1.99.1

Scan saved at 15:54:33, on 26-02-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\sm56hlpr.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\IEXPLOR.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLService.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SVCLOGON.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashSimpl.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\FARIAS~1\CONFIG~1\Temp\Rar$EX01.797\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll (file missing)

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll (file missing)

O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PCMService] "c:\apps\Powercinema\PCMService.exe"

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Downloads\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Optimizer windows] IEXPLOR.exe

O4 - HKLM\..\RunServices: [Optimizer windows] IEXPLOR.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [DeltaForceSetup.exe] C:\DOCUME~1\FARIAS~1\MISDOC~1\Manuel\DELTAF~1.EXE /r

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Optimizer windows] IEXPLOR.exe

O4 - HKCU\..\RunServices: [Optimizer windows] IEXPLOR.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe (file missing)

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe (file missing)

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: windowsupdate.microsoft.com - Unknown owner - C:\WINDOWS\SVCLOGON.EXE

Van HarDisk · Mensaje por **Van HarDisk** » 26 Feb 2007, 21:03

Hola janychile, primero que nada le digo a los admins....estos procesos tienen pinta rara:

>C:\WINDOWS\system32\~~[b]~~IEXPLOR.exe[/b] (es iexplore, con E)

>C:\WINDOWS\sm56hlpr.exe

>C:\WINDOWS\system32\~~[b]~~slserv.exe[/b] (es sqlserver.exe, con Q)

además han creado claves del registro:

>O4 - HKLM\..\Run: [Optimizer windows] IEXPLOR.exe

>O4 - HKLM\..\RunServices: [Optimizer windows] IEXPLOR.exe

>O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

>O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

janychile, espera la respuesta de los moderadores.

saludos

MrKogoyo · Mensaje por **MrKogoyo** » 26 Feb 2007, 21:40

El primero proceso que pone Van HardDisk, Puede ser virico

Envialo para su posterior analizis

~~[b]~~¿COMO ENVIAR?:[/b]

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

O puedes pasar el EliSatarA en [url=https://foros.zonavirus.com/como-eliminar-generic-pupq-solucionado-vt16806.html]~~[b]~~MODO SEGURO[/b][/url] que seguramente te pedira alguna Muestra

~~[b]~~EliStarA:[/b]

http://www.zonavirus.com/descargas/elistara.asp

Cuando termines de explorar, reinicia y posteanos el ~~[b]~~contenido[/b] de C:/InfoSat.txt

Comenta los resultados...

~~[b]~~Slds. !!

Mr.K.[/b]

MrKogoyo · Mensaje por **MrKogoyo** » 26 Feb 2007, 21:56

Perdon, se me olvida que en esta seccion no puedo editar mis post

+++++++++

El segundo proceso que pone ~~[b]~~Van HardDisk[/b] creo que no es virico (http://www.hijackfree.org/es/autorundetails/?command=sm56hlpr.exe)

Y el tercero tampoco es virico, mira aqui:

~~[b]~~slserv.exe:[/b]

http://www.hijackfree.org/es/processdetails/?id=455

Pero si tienes dudas con respecto a esos ficheros puedes enviarlos

++++++++

Tambien ve a esta ruta: C:/WINDOWS/system32/ y renombra el Fihcero "IEXPLOR.exe" a "IEXPLOR.VIR", asi el fichero no se ejecutara

Lanza el hijackthis y borra estas claves, marcando la casilla de la izquierda y dandole "Fix Cheked":

~~[b]~~

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O20 - AppInit_DLLs:

Slds. !!

Mr.K.[/b]

Nuker · Mensaje por **Nuker** » 26 Feb 2007, 22:09

Prueba mejor ELITRIIP ya que controla ~~[b]~~gusanos[/b] conocidos, esto en Modo Seguro y nos pegas el log. Unidad C, con nombre de infoSat.txt copias contenido y pegas aqui.

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELIMINA ESTAS CLAVES:

O4 - HKLM\..\Run: [Optimizer windows] IEXPLOR.exe

O4 - HKLM\..\RunServices: [Optimizer windows] IEXPLOR.exe

Reinicias tras pasar ELITRIIP y habernos pegado el log y nos comentas el resultado, Gracias...

janychile · Mensaje por **janychile** » 27 Feb 2007, 00:38

AQUI ESTA MI LOG NUEVAMENTE, MI ANTIVIRUS ME DETECTO TRES VIRUS MÁS, NO SE SI HUBO ALGUNA MODIFICACIÓN EN EL LOG ANTERIOR.

GRACIAS POR LAS RESPUESTAS, PERO PODRIAN SER MAS CLAROS QUE NO ENTIENDO MUCHO Y DEBO APRENDER! NO ME QUEDA OTRA.

Logfile of HijackThis v1.99.1

Scan saved at 19:41:07, on 26-02-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\sm56hlpr.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\IEXPLOR.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLService.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SVCLOGON.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\winlogon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\FARIAS~1\CONFIG~1\Temp\Rar$EX00.844\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll (file missing)

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll (file missing)

O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PCMService] "c:\apps\Powercinema\PCMService.exe"

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Downloads\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Optimizer windows] IEXPLOR.exe

O4 - HKLM\..\RunServices: [Optimizer windows] IEXPLOR.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [DeltaForceSetup.exe] C:\DOCUME~1\FARIAS~1\MISDOC~1\Manuel\DELTAF~1.EXE /r

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Optimizer windows] IEXPLOR.exe

O4 - HKCU\..\RunServices: [Optimizer windows] IEXPLOR.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe (file missing)

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe (file missing)

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: windowsupdate.microsoft.com - Unknown owner - C:\WINDOWS\SVCLOGON.EXE

MrKogoyo · Mensaje por **MrKogoyo** » 27 Feb 2007, 01:19

Te voy a hacer un resumen de lo que tienes que hacer

Pasa estas 2 herramientasen [url=http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp]~~[b]~~MODO SEGURO[/b][/url]

~~[b]~~EliStarA:[/b]

http://www.zonavirus.com/descargas/elistara.asp

~~[b]~~EliTriiP:[/b]

http://www.zonavirus.com/descargas/elitriip.asp

Dile a todo que SI, Luego dale a EXPLORAR, Cuando terminen de explorar reinicia normalmente y Posteanos el ~~[b]~~CONTENIDO[/b] de C:/~~[b]~~InfoSat.txt[/b]

Luego envia este fichero para su analizis

C:/WINDOWS/system32/IEXPLOR.EXE

(Ve a MI PC / C: luego a la carpeta WINDOWS y luego a system32, Busca el archivo llamado IEXPLOR.EXE y envialo)

~~[b]~~¿COMO ENVIAR FICHEROS?:[/b]

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Luego ejecuta el Hijackthis como lo hiciste anteriormente, marca la casilla de la izquierda de las siguientes claves y presiona el boton "Fix Cheked":

~~[b]~~O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O20 - AppInit_DLLs:

O4 - HKLM\..\Run: [Optimizer windows] IEXPLOR.exe

O4 - HKLM\..\RunServices: [Optimizer windows] IEXPLOR.exe[/b]

Comenta los resultados...

~~[b]~~Slds. !!

Mr.K.[/b]

Mensaje por **msc hotline sat** » 27 Feb 2007, 07:10

Bueno, aparte de lo indicado anteriormente hay otras claves a eliminar y otr muestra que enviar para analizar,, por lo que las resumo todas y todos:

Elimina estas claves: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBIniti alSetup1.0.0.15.cab

O20 - AppInit_DLLs:

y estas , aun a la espera de las muestras, eliminalas tambien con toda seguridad de que el IEXPLOR.EXE será malware:

O4 - HKLM\..\Run: [Optimizer windows] IEXPLOR.exe

O4 - HKLM\..\RunServices: [Optimizer windows] IEXPLOR.exe

O4 - HKCU\..\Run: [Optimizer windows] IEXPLOR.exe

O4 - HKCU\..\RunServices: [Optimizer windows] IEXPLOR.exe

y envianos estos ficheros para analizar y controlar en las proximas versiones de nuestras utilidades:

C:\WINDOWS\SVCLOGON.EXE

C:\WINDOWS\system32\IEXPLOR.exe

recuerda: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

saludos

ms, 27-02-2007

janychile · Mensaje por **janychile** » 27 Feb 2007, 14:48

:oops: HOLA! dificil pero no imposible!

YA SE COMO SE ARRANCA DE MODO SEGURO, APRETANDO VARIAS VECES F8 O NO?

LUEGO QUE ES LANCE HJT?

Y COMO ILIMINO LAS CLAVES CON FIX CHECKED?

Y PARA ENVIAR LAS MUESTRAS A ZONAVIRUS@SATINFO.ES,

TENGO QUE DESACTIVAR EL ANTIVIRUS, FACIL, PERO COMO

EMPAQUETAR EL FICHERO EN UN ZIP O RAR COMO?

yo tengo winrar 3.20, tengo que ingresar ahi para mandar los ficheros!!

CON PASSWORD "VIRUS". :?: :?: :?: :cry:

TENGAN PACIENCIA CONMIGO PORFAVOR!!!

Mensaje por **msc hotline sat** » 27 Feb 2007, 14:54

Lo podemos decir MAS ALTO, pero no mas claro ...

MODO SEGURO:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

ELIMINAR CLAVES Y ENVIO DE MUESTRAS:

https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

LANZAR HJT Y POSTEAR LOG

[quote]
~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos
[/quote]

Y con el WINRAR, empaquetar con password se hace desde OPCIONES AVANZADAS

saludos

ms, 27-02-2007

janychile · Mensaje por **janychile** » 27 Feb 2007, 15:30

YA CREO QUE LO HICE.

TE MANDO MI LOG

Logfile of HijackThis v1.99.1

Scan saved at 10:31:21, on 27-02-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\sm56hlpr.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLService.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SVCLOGON.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\FARIAS~1\CONFIG~1\Temp\Rar$EX00.891\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll (file missing)

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll (file missing)

O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PCMService] "c:\apps\Powercinema\PCMService.exe"

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Downloads\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [DeltaForceSetup.exe] C:\DOCUME~1\FARIAS~1\MISDOC~1\Manuel\DELTAF~1.EXE /r

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe (file missing)

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe (file missing)

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: windowsupdate.microsoft.com - Unknown owner - C:\WINDOWS\SVCLOGON.EXE

AHORA ENVIARE LAS MUESTRAS...OJALA ME RESULTE

HASTA EL MOMENTO MI PROBLEMA PERSISTE.

GRACIAS

Mensaje por **msc hotline sat** » 27 Feb 2007, 16:06

Si quieres, mientras llegan las muestras y las analizamos, renombra la extension de estos ficheros a .VIR y asi tras reiniciar ya no entrarran en proceso

Luego en funcion del resultado, o las utilidades las eliminaran, sea la extension que sea, o deberan volverse a restaurar a su extension original si no resultan ser viricas

saludos

ms, 27-02-2007

janychile · Mensaje por **janychile** » 27 Feb 2007, 16:11

QUE EXTRAÑO NO ENCUENTRO C:WINDOWS/SYSTEM32/IEXPLOR.EXE

TENGO QUE BORRAR LAS MUESTRAN QUE ME PIDEN TAMBIÉN...

Mensaje por **msc hotline sat** » 27 Feb 2007, 16:17

Lo tienes seguro porque está en uso !!!

Recuerda que puede estar oculto:

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

y NO, no debes borrar las muestras que envias, ya las eliminarán las utilidades si procede.

saludos

ms, 27-02-2007

janychile · Mensaje por **janychile** » 27 Feb 2007, 19:43

:oops: :oops: :oops:

ESTOY TRATANDO DE MANDARTE LAS MUESTRAS PERO NO PUEDO, NO ENTIENDO COMO?, LEO Y LEO Y NADA. DEBE SER FACIL PERO MI CABEZA A ESTADO TODO EL DIA AQUI EN ESTE PC Y NO LOGRO SOLUCIONAR EL PROBLEMA.

HABRA OTRA FORMA MÁS FACIL DE ENVIAR ESAS MUESTRAS.

Mensaje por **msc hotline sat** » 27 Feb 2007, 20:03

Desactiva tu antivirus

Empaqueta los ficheros en un ZIP o RAR con password VIRUS (en OPCIONES AVANZADAS)

Anexa el fichero resultante a un mail dirigido a zonavirus@satinfo.es en cuyo texto indiques como referencia tu nick en el foro

Y marchando...

saludos

ms, 27-02-2007

nota: solo recuerda que para poner passwords has de ir a opciones avanzadas de la aplicacion de empaquetar ms

Mensaje por **msc hotline sat** » 28 Feb 2007, 07:02

MrKogoyo:

Tu desafortunada participacion en este Tema, en la pagina anterior y al final, en el post que se ha eliminado, y dados los multiples avisos en privado que se te han hecho, se ha colmado el vaso, todo lo cual ha hecho que perdieras la posibilidad de postear en este foro.

Gracias por tu colaboracion, puedes seguir accediendo al mismo para leer y no se eliminan tus post anteriores, de momento, pero se anula el que puedas postear.

Y no te registres de nuevo para ello, pues en tal caso serias baneado, anulados tus post y eliminadas tus fichas.

saludos

ms, 28-02-2007

Mensaje por **msc hotline sat** » 28 Feb 2007, 14:25

Se han recibido logs y txt, que no debian haber sido enviados, sino simplemente posteados en el foro

A SATINFO, por mail solo deben enviarse las muestras que se piden para analizar, pero no ha llegado nada de ello.

saludos

ms, 28-02-2007

janychile · Mensaje por **janychile** » 28 Feb 2007, 16:05

Soy janychile y solamente pedia ayuda, hice todo lo que pidieron, estaba tan ilusionada que ustedes me podrian ayudar y ahora el administrador me sale con esto. yo si mande las muestras, claro alomejor las mande mal, SI UNO PIDE AYUDA ES PORQUE NO SABE O NO?

Bueno ya se que ustedes son una falsa!!!

pensaba que eran diferentes y yo hablando tan bien de su página.

ahora si me demore en mandar las muestras es que no entendia, si supieras estos dos dias he estado encerrada aqui con este pc para arreglarlo y ahora me sales con esto.

YO SOLO QUERIA AYUDA!!!!

GRACIAS DE TODAS MANERAS.

NO SE PORQUE TE CAI TAN MAL. DEBE SER PÒRQUE NO ENTENDIA Y ESO TE MOLESTO O NO?

Mensaje por **msc hotline sat** » 28 Feb 2007, 16:38

Pero de qué vá ???

Se le ha informado que no se han recibido las muestras, y que en su lugar se ha recibido informes que deben postearse en el foro y no enviarlos por correo...

Entendemos que debe estar nerviosa, pero ni nos cae mal, ni se ha pretendido hacer otra cosa que ayudarla y nada de Vd nos ha molestado... simplemente no hemos podido analizar los ficheros aun porque no los hemos recibido y esto es todo.

En medio ha habido una reprimenda a Mr Kogoyo por participar diciendo lo que no debia, que hubiera liado mas la cosa, aunque fuera sin querer, ¿No será que ha interpretado que eso le afactaba? Si es así, lea bien que no era para Vd, se indica bien claro:

"MrKogoyo:

Tu desafortunada participacion ..."

Pero bueno, si no desea que le ayudemos, es Vd libre de hacer lo que le plazca, lo que no vamos es a perder el tiempo en excusarnos de algo que no viene al caso, dicho con todo cariño !

Desde luego ha de haber un malentendido, pues lo que dice de:

"Bueno ya se que ustedes son una falsa!!!

pensaba que eran diferentes y yo hablando tan bien de su página.

ahora si me demore en mandar las muestras es que no entendia, si supieras estos dos dias he estado encerrada aqui con este pc para arreglarlo y ahora me sales con esto. "

que me lo expliquen...

A ver, quizás otra mujer nos puede servir de mediadora, lucl, si estás pos aquí, te pido ayuda imparcial, lee los últimos post a ver si se descubres lo que se nos escapa...

En cualquier caso, sentimos que se haya molestado y aun mas cuando no ha sido nuestra intencion (cornudos y apaleados), pero sepa que tambien nos han molestado sus inmerecidas palabras, y que en otro foro hubieran merecido su expulsion !!!

saludos

ms, 28-02-2007

Mensaje por **lucl** » 28 Feb 2007, 18:22

Hola janychile, en primer lugar tranquila, no creo que se te haya faltado al respeto, entiendo que un ordenador con problemas te puede superar, a mi me ha ocurrido, y los virus son unos desalmados que corren y corren y nos hacen sudar!! Pero creo que en este caso te equivocas, msc simplemente te dijo que no habias enviado el fichero en cuestion, si no los log que se tienen que poner aqui copiados. Mira a veces somos demasiado tecnicos, pero excepto nuker , novatillo yo misma o cualquier otro usuario avanzado que ande por aqui que lo hacemos en nuestro tiempo libre y por gusto, msc , flacoroo y cualquier otro tecnico de satinfo van contra reloj, tienen mucho trabajo y hacen lo que pueden, y si quieres pecamos de ser demasiado tecnicos. No pasa nada por decir no se que archivo mandar, y a paciencia explicandonos no nos supera nadie, pero me da que msc tiene razon cuando dice que lo de mr.kogoyo te ha afectado a ti, reflexiona un poco, si no quieres seguir con la ayuda de zonavirus eres libre de decidirlo y hacerlo. Avisanos y se cierra el tema, pero creo que estas ofuscada y no has sabido entender el ultimo mensaje de msc. Y olvidate de que nos caigas mal o no, eso no tiene nada que ver, esto es un trabajo. Ahora tu decides, si quieres seguimos , si no lo cerramos. No hay motivos para que nos caigas mal, ni tu, ni ningun otro forero, solo nos caen mal los virus y por eso peleamos! para que no puedan con nosotros. Bueno cuando te lo pienses nos dices algo y ya esta. Aqui no ha pasado nada, saludos.

janychile · Mensaje por **janychile** » 28 Feb 2007, 19:34

Bueno quiero pedir mil disculpas a ustedes por el malentendido, ya que yo creia que el mensaje era para mi y me senti muy mal.

Ahora vuelvo a creer que son buenas personas y lo siento tanto por mis palabras.

Esto me supero asi que le entrego el pc a mi hijo Diego que usara mi nick y tratará de ayudar.

Gracias por aclararme el malentendido.

:roll: :roll: :roll: :roll: :roll: :roll: :roll: :roll: :roll: :roll:

janychile · Mensaje por **janychile** » 28 Feb 2007, 19:46

Hola ya que vi a mi Madre Tan nerviosa, yo tome su lugar, lo primero que yo hice fue ingresar al ~~[b]~~Administrador de tareas de Windows[/b] y encontre C:/WINDOWS/SVCLOGON.EXE activo.

Puse Terminar Proceso y hasta ahora el Internet Explorer funciona sin problemas, Pero creo quees temporal porque solo detuve esa aplicacion y no la elimine, por lo que debe continuar molestando en este PC.

¿que debo hacer?

:P :P :P :P

Mensaje por **msc hotline sat** » 28 Feb 2007, 20:02

Pues corramos un es tupido velo y sigamos donde lo dejamos:

Estabamos en que pedimos que nos envien muestras de dos ficheros, segun deciamos:

[quote]
y envianos estos ficheros para analizar y controlar en las proximas versiones de nuestras utilidades:

C:\WINDOWS\SVCLOGON.EXE

C:\WINDOWS\system32\IEXPLOR.exe

recuerda: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334
[/quote]

El primero probablemente es una variante de las miles que hay de SDBOT, que pasaremos a controlar con el proximo ELITRIIP, posterior al analisis, claro

Acabo de subir nuevas versiones, prueba el ELITRIIP actual, 3.25 porque hemos implementado control de nuevos SDBOT (como cada día) :lol:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y el segundo, este IEXPLOR.EXE fijarse que se carga desde la carpeta de windows, no de la de sistema, como hacen muchos otros gusanos con este nombre, por ello seguramente se trata de un adware:

http://www.lafn.org/webconnect/mentor/startup/0XU.HTM

Cuando lo recibamos lo analizaremos y si es lo que pensamos lo implementaremos en el proximo ELISTARA, con los troyanos adwares y spywares que recibamos hasta dicha version de mañana.

Ambas, si se reciben los ficheros antes de las 10 AM de mañana (GMT) serán controladas con las utilidades que mañana subiremos a esta web, por lo que podrán descargarse para evaluacion a partir de las 20 h de mañana (GMT)

en este caso el link de descarga será:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 28-02-2007

janychile · Mensaje por **janychile** » 28 Feb 2007, 21:30

hOLA!

YA ENVIE TRES MUESTRAS OJALA LES HAYAN LLEGADO.

SI NO AVISENME PORFAVOR.

janychile · Mensaje por **janychile** » 28 Feb 2007, 22:11

Wed Feb 28 16:40:13 2007

EliTriIP v3.25 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "OPTIMIZER WINDOWS")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\IEXPLOR.exe

a "virus@satinfo.es". Gracias.

Wed Feb 28 16:46:45 2007

EliTriIP v3.25 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "OPTIMIZER WINDOWS")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\IEXPLOR.exe

a "virus@satinfo.es". Gracias.

Entrada Eliminada [HKLM\...\Run] "msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Wed Feb 28 16:47:20 2007

EliTriIP v3.25 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\APPS\mca\AUTORUN.INF --> Eliminado, DownLoader.Horst (inf)

C:\Archivos de programa\HP\Digital Imaging\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\autorun.inf --> Eliminado, DownLoader.Horst (inf)

C:\Archivos de programa\HP\Temp\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\autorun.inf --> Eliminado, DownLoader.Horst (inf)

C:\Documents and Settings\Farias Garcia\Mis documentos\nero 7 premium edition multilanguage+plugins integrados (archivo autoextraible).exe --> Eliminado, Bifrose (dropper)

Wed Feb 28 16:59:12 2007

EliStartPage v13.43 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "OPTIMIZER WINDOWS")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\IEXPLOR.exe

a "virus@satinfo.es". Gracias.

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Carpeta "%Archivos de Programa%\FunWebProducts"

Eliminada Carpeta "%Archivos de Programa%\MyWebSearch"

Eliminados Ficheros Temporales del IE

Wed Feb 28 17:00:12 2007

EliStartPage v13.43 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Movavi Video Converter 5.0\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Nero\Nero 7\Nero 7 Premium\Cab\NVDV50D516A7.DLL --> Eliminado, Hotbar

C:\Archivos de programa\Nero\Nero 7\Nero 7 Premium\Cab\NVDV75898540.DLL --> Eliminado, Hotbar

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\Documents and Settings\Empresas DDD®.NOMBRE-2079371E\Escritorio\Softwares ddd®\Movavi Video Converter 5.0\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\Farias Garcia\Mis documentos\VIDEOCONVERTERSETUP.EXE --> AutoExtraible

Mensaje por **lucl** » 28 Feb 2007, 22:44

Hola, bueno el elistara os ha quitado varias cosas, y como lo que solicita el elistara supongo ya habeis enviado tan solo queda esperar a su recepcion y msc ya os dara noticias si ha llegado correctamente, saludos. :lol:

Mensaje por **msc hotline sat** » 01 Mar 2007, 16:35

Recibidas muestra inútiles de ficheros .PF

No sirven los ficheros prefecth, deben ser EXE

Busquelos y envie los pedidos, pero fijese en la extension !

recuerde : https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

saludos

ms, 1-03-2007

janychile · Mensaje por **janychile** » 01 Mar 2007, 22:20

:( :( HOLA!

Busque por todos lados esos archivos con extensión exe.

Los busque en las ubicaciones donde decian que se encontraban y nada, luego busque archivos ocultos y nada.

fui a ejecutar y nada pero ejecute el svclogon.exe y nuevamente por al administrador de tareas pude nuevamente terminar el proceso.

hago un log y aparecen.

y en la busqueda no estan.

donde estan?, alguna idea.

se a hecho todo lo que ustedes me piden ni en windows, ni en system32 noi en otro.

se esconden o que?,

:?: :?: :?: :?: :?: :?:

janychile · Mensaje por **janychile** » 01 Mar 2007, 22:36

ATRAVES DEL WINRAR PUDIMOS LOCALIZARLOS Y FUERON ENVIADOS, OJALA QUE AHORA SI.

GRACIAS POR LA PACIENCIA Y GRACIAS POR TODOS LOS QUE ME AYUDAN!!! :o :o :o :o

NECESITO AYUDA!!!!! un virus me esta comiendo (SOLUCIONADO)

NECESITO AYUDA!!!!! un virus me esta comiendo (SOLUCIONADO)

SE PERDIO UNA MUESTRA

NO PUEDO LO SIENTO!!!

nunca pense que eran tan malas personas!!

HAY QUE RECONOCER NUESTROS ERRORES!!!!

HOLA SOY DIEGO!!!

YA MANDE LAS MUESTRAS

AQUI ESTAN LOS INFOSAT

NO SE ENCUENTRAN!!

YA SE ENCONTRARON!!!!