-
rubi
- Mensajes: 2
- Registrado: 01 Mar 2007, 00:06
Mensaje
por rubi » 01 Mar 2007, 00:15
En las paginas polacas no pone nada de ese virus y nadie no quiere ayudar, asi tengo q pediros ayuda.
La suvida de internet se baja de minimo, el ordenador se reinicia solo. Cada vez q estoy formateando la problema esta volviendo. Perdona por la gramatica ... espero q me podeis ayudar.
Aqui teneis mi log :
Logfile of HijackThis v1.99.1
Scan saved at 22:28:59, on 2007-02-28
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\tcpipmon.exe
C:\WINDOWS\system32\tcpipmon.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programy\BitComet\BitComet.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Programy\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll
O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 289119] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\289119
O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 289187] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\289187
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NETIANET] C:\Program Files\Netia\Net\netianet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6124709D-351B-49E3-8AB9-A0F341183BB3}: NameServer = 83.238.255.76 213.241.79.37
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Gracias
Monica
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 01 Mar 2007, 08:47
Pues bienvenida al foro desde Polonia, monica, y no te preocupes por el léxico, otros hispanoparlantes lo hacen peor !
Destaca este malware TCPIPMON.EXE que tienes, el cual ya controlamos desde el ELISTARA 13.40:
Muestras de Puper-Isa "IESPLUGIN.DLL"), FakeAlert "TCPIPMON.EXE", (2)Tibs(dldr) "ADIRSS.EXE y LNWIN.EXE", BraveSentry(dldr) "XPUPDATE.EXE", BraveSentry(antispy), DownLoader-Small "KERNELS88.EXE", Lager "TASKDIR.EXE", DownLoader.AXI "*******.DLL" y Malware.RPCC "RPCC.DLL")
Y tambien el RPC.DLL que precisa ademas el ELINOTIF
DESCARGA ESTAS DOS UTILIDADES EN UNA MISMA CARPETA:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
ELINOTIF.DLL
http://www.zonavirus.com/descargas/elinotif.asp
luego arranca en modo seguro, prueba el ELISTARA y una vez termine, reinicia normalmente y seguirá el proceso para terminar la eliminacion
Luego nos posteas el contenido de c:\infosat.txt para ver el resultado del analisis, GRACIAS
saludos
ms, 1-03-2007
-
rubi
- Mensajes: 2
- Registrado: 01 Mar 2007, 00:06
Mensaje
por rubi » 01 Mar 2007, 17:34
Buenas dias de nuevo.
Me bajo el programa, pero cuando entro al modo seguro me pone q el archivo esta modificado por un virus y no puedo hacer nada con el :(. No se si hago algo mal, o q pasa pero toy verde de esa tema. Alguien me puede ayudar otra vez .... porfaaaaaaaaaa
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 01 Mar 2007, 18:31
Pues por casualidad ha llegado un mail con referencia "eurobabey", que no se parece en nada a "rubi" , pero que contiene estos dos ficheros, los cuales pasamos a controlar con la nueva version 13.44 del ELISTARA de hoy, que estará disponible a partir de las 20 h GMT
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 1-03-2007
-
neyor007
- Mensajes: 1
- Registrado: 03 Mar 2007, 20:27
Mensaje
por neyor007 » 03 Mar 2007, 20:40
HOLA AQUI MI AYUDA SOBRE EESTE MALICIOSO ARCHIVO EJECUTABLE, QUE TAMBIEN FUE UN DOLOR DE CABEZA PORQUE ME DESACTIVO EL CENTRO DE SEGURIDAD DE WINDOWS, NO MAS PALABRAS A QUI VA.
BUSCALO EN LA RUTA:
C:\WINDOWS\system32 tcpipmon.exe
y cambiale de nombre. (cualquier nombre por ejemp. tcpip1mon.exe)
luego entras al registro con cuidado sigue esta ruta
inicio/ejecutar y escribes regedit:
luego entra a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HACES CLIC ALLI Y LUEGO AL LADO DERECHO BUSCAS tcpipmon y lo borras ( clic derecho eliminar) luego cierras la ventana.
y sigues el siguiente paso:
inicio/ejecutar y escribes msconfig al visualizar la ventana clicqueas en el boton inicio y desactivas el inicio de este tcpipmon.exe clilc en aplicar , aceptar y luego cerrar, al cerrar te pedira reinicar para efectuar los cambios le das salir y reiniciar y listo: espero les sirva me confirman ok
-
lucl
- Mensajes: 6324
- Registrado: 17 Ene 2006, 18:09
- Ubicación: España
-
Contactar:
Mensaje
por lucl » 03 Mar 2007, 21:37
[quote="msc hotline sat"]Pues por casualidad ha llegado un mail con referencia "eurobabey", que no se parece en nada a "rubi" , pero que contiene estos dos ficheros, los cuales pasamos a controlar con la nueva version 13.44 del ELISTARA de hoy, que estará disponible a partir de las 20 h GMT
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 1-03-2007[/quote]
pasa el elistara como te aconseja msc puesto que te limpiara el virus dado que han trabajado con el con la muestra que les enviastes y peganos el log, saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 04 Mar 2007, 10:30
y "neyor007" en este foro mira lo que decimos antes de postear...
saludos
ms, 4-03-2007
msc hotline sat Virus Research Engineer 