NO ES EL CAMILA !!! --> legal cartao do amo (SOLUCIONADO)

camila · Mensaje por **camila** » 24 Mar 2007, 21:54

Hola cuando entre al messenger mi amiga m dijo q tenian ese virus pero io no lo e descargado seguro q mi hermana lo descargo pero = necesito eliminarlo porfa ayudenme q tengo q hacer para eliminarlo???

:roll:

slds

grasias

Mensaje por **msc hotline sat** » 24 Mar 2007, 21:57

aNTES QUE NADA, TRANQUI QUE CONOCEMOS ESTE VIRUS, PERO NECESITAMOS ANALIZARLO MAS PARA CORREGIR SUS EFECTOS

Envianos muestra de estos ficheros:

C:\Documents and Settings\usuario\Configuración local\Archivos temporales de Internet\Content.IE5\M5I2BHOR\CAMILA[1].EXE

C:\WINDOWS\CONFIG.EXE

recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Tras ello los renombras a extension .VIR y reinicias, pero te quedaran secuelas, no te preocupes, que tras analizar los ficheros, implementaremos su total eliminacion y eretairacion en nuestras utilidades, de lo cual informaremos

saludos

ms, 24-03-2007

Mensaje por **msc hotline sat** » 24 Mar 2007, 22:00

Creo que me he liado entre tu nick y el nombre del virus que tengo en la cabeza por ser una asignatura pendiente...

Si no tienes el virus Camila, olvida lo que he dicho en el post anterior y nos posteas el log del HJT:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 24-03-2006

camila · Mensaje por **camila** » 24 Mar 2007, 22:09

Logfile of HijackThis v1.99.1

Scan saved at 03:13:45 p.m., on 24/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Archivos de programa\SiteAdvisor\5248\SiteAdv.exe

C:\WINDOWS\System32\JVM0.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Automatic Update\AutoUpdate.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\PSIService.exe

C:\Archivos de programa\SiteAdvisor\5248\SAService.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\WISPTIS.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\5248\SiteAdv.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\5248\SiteAdv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\5248\SiteAdv.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [JVM0] C:\WINDOWS\System32\JVM0.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O15 - Trusted Zone: http://*.amadeusproweb.com

O15 - Trusted Zone: http://*.amadeusvista.com

O15 - Trusted Zone: http://*.amadeusproweb.com (HKLM)

O15 - Trusted Zone: http://*.amadeusvista.com (HKLM)

O15 - Trusted Zone: http://*.central (HKLM)

O15 - Trusted Zone: http://www.e-savtravel.com (HKLM)

O15 - Trusted Zone: http://www.e-savtravel.net (HKLM)

O15 - Trusted Zone: http://www.jdmdatway.com (HKLM)

O15 - Trusted Zone: http://*.jdmsis12 (HKLM)

O16 - DPF: {051FE707-9706-11D5-A836-000102A7C938} (Amadeus Automatic Update) - http://certificates.amadeusvista.com/SGWADMIN/common/AutoUpdateATL25P211.CAB

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversFWBInitialSetup1.0.0.15-3.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://tefilove.spaces.live.com/PhotoUpload/MsnPUpld.cab?10,0,912,0

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172940881562

O17 - HKLM\System\CCS\Services\Tcpip\..\{F9384312-D049-47D8-B517-A3BBD59491F0}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\5248\SiteAdv.dll

O20 - Winlogon Notify: AUWinLogon - C:\WINDOWS\SYSTEM32\AUWinLogon.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Amadeus Automatic Update - Amadeus - C:\Archivos de programa\Automatic Update\AutoUpdate.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\System32\PSIService.exe

O23 - Service: SiteAdvisor Service - Unknown owner - C:\Archivos de programa\SiteAdvisor\5248\SAService.exe

Mensaje por **msc hotline sat** » 24 Mar 2007, 22:17

Te faltan todos los parches del SP2 y posteriores del año 2005 y 2006 (y 2007, claro) Lanza un windowsupdate !!!

Envianos este fichero para analizar, pues tiene toda la pinta de ser el bicho:

C:\WINDOWS\System32\JVM0.exe

y como que debe ser el troyano, tras enviarnoslo como indicamos:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y este otro envianoslo tambien:

C:\WINDOWS\SYSTEM32\AUWinLogon.dll

renombra a ambos su extension a .VIR para que al reiniciar ya no se pongan en marcha

y elimina esta clave:

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversFW BInitialSetup1.0.0.15-3.cab

saludos

ms, 24-03-2007

camila · Mensaje por **camila** » 24 Mar 2007, 22:28

jejje una pregunta ya encontre los archivos C:\WINDOWS\System32\JVM0.exe , C:\WINDOWS\SYSTEM32\AUWinLogon.dll , pero para enviarlos se supone q tengo q abrirlos y pegar su contenido en zonavirus@satinfo.es

PERO no se pueden abrir en uno de los casos me dice q estoy intentando abrir un archivo dll y q al modificarlo se puede dañar el sistema y el oto no abre

q hago??

gracias

slds

camila · Mensaje por **camila** » 24 Mar 2007, 22:36

que debo hacer please :(

Mensaje por **msc hotline sat** » 24 Mar 2007, 22:38

nADA DE ABRIRLOS, SE DEBEN ANEXAR A UN MAIL Y MEJOR EMPAQUETADOS EN UN ZIP O RAR CON PASSWORD VIRUS, COMO DECIMOS EN:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

SALUDOS

ms, 24-03-2007

camila · Mensaje por **camila** » 24 Mar 2007, 22:42

sorry ,, jeje como lo anexo¿?

camila · Mensaje por **camila** » 24 Mar 2007, 22:53

como debo anexarlo? y entonces como hago para eliminar la clave -->>>> O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversFW BInitialSetup1.0.0.15-3.cab

y para empaquetar el fichero infectado en un ZIP o RAR con password "VIRUS" debo pob¡ner el boton derecho y poner add to win zip??

:roll:

gracias

camila · Mensaje por **camila** » 24 Mar 2007, 23:10

olaa porfa ayudenme el virus continua cada vez q alguien me habla la conversasion se borra y no se que dijo

ayudenme porfaa

:)

Nuker · Mensaje por **Nuker** » 24 Mar 2007, 23:23

Para Eliminar la clave indicada.

Entra en Modo Seguro:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Ejecuta HijackThis, selecciona la clave indicada y le das en "Fix Checked". Asi la eliminara.

--------------

Para enviar click derecho sobre el fichero indicado y le pones en agragar al fichero o "add to winzip" de ahi te vas a opciones avanzadas y escojes establecer contraseña y pones VIRUS, asi no te interceptara el fichero.

Y de ahi puedes renombrar el fichero indicado, click derecho sobre el fichero, renombrar y cambias la terminacion .exe y la cambias por .vir reinicias y automaticamente el sistema lo tomara como virico desabilitandolo y ya no te dara problemas, esto mientras se agrega a alguna de las utilidades.

camila · Mensaje por **camila** » 24 Mar 2007, 23:35

hey gracias una pregunta es necesario borrar esa clave??

y otra pregunta como hago para anexarlo??

gracias

slds

Nuker · Mensaje por **Nuker** » 24 Mar 2007, 23:52

Esa clave es catalogada como Malware (se recomienda su eliminacion).

Y anexar es lo mismo que adjuntar, dentro de su mail debe venir la opcion adjuntar un archivo.

camila · Mensaje por **camila** » 25 Mar 2007, 04:29

[quote="Nuker"]Esa clave es catalogada como Malware (se recomienda su eliminacion).

Y anexar es lo mismo que adjuntar, dentro de su mail debe venir la opcion adjuntar un archivo.[/quote]

ola ya hice todo pero no puedo enviarlo porque dicen que ahora para usar el servicio de hotmail con el outlook deben suscribirse y pagar por ello, actualmente, no se permite el uso de outlook con el hotmail gratuito y si lo adjunto en esta pagina tb puede ser????

QUE HAGO???

COMO LO ENVIO

SIGO TENIENDO ESE HORRIBLEEEEEE VIRUSS COMO HAGO PARA ELIMINARLO POR COMPLETOOOOOOO

AYDENME PORFAA :cry:

Mensaje por **msc hotline sat** » 25 Mar 2007, 09:01

Esté tranquila, que si ha eliminado la clave indicada, el virus ya no está activo en su ordenador.

El lunes buscaremos la forma de habilitar el envio de muestras a SATINFO por web, pero mientras, simplemente no toque para nada dicho fichero, que, sin la clave que lo lanza, estará quietecito sin hacer daño, hasta que nos lo envie y podamos controlarlo por cadenas y eliminar todo lo que haya modificado o alterado, asi como restos o ficheros que hubiera podido crear, aparte de él mismo.

saludos

ms, 25-04-2007

camila · Mensaje por **camila** » 26 Mar 2007, 04:12

el virus sigueeee

cada vez q hablo con alguien les envio eso de la carta do amor

pero io no se q le envio eso porque ami no me sale q le envio carta do amor pero a el si

QUE HAGO PORFAAA

ESTE VIRUS TIENE SOLUCION???

diganme q siiiii porfaaaa

slds :cry:

Mensaje por **msc hotline sat** » 26 Mar 2007, 05:31

Pero no eliminó la clave que le indicamos?

Posteenos nuevo log actual del HJT y veremos qué pasa

saludos

ms, 26-03-2007

y mire de enviarnos las muestras solicitadas desde casa de un amigo, por ejemplo.

Mensaje por **msc hotline sat** » 26 Mar 2007, 13:43

Si vuelve a estar en uso, tendrá de nuevo el CONFIG.EXE en c:\windows, mire de enviarnoslo conforme indicamos:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Asi podremos analizar el malware y restaurar las claves que modifique y ficheros que cree.

E implementaremos en el ELISTARA su control completo y eliminacion, que ahora solo era por cadenas de deteccion.

saludos

ms, 26-04-2007

Mensaje por **msc hotline sat** » 27 Mar 2007, 14:07

Hemos recibido por otro lado el fichero que necesitabamos CONFIG.EXE del Camila, y hemos podido analizarlo, por lo que esta tarde a las 20 h GMT podrá probarse el nuevo ELISTARA que no solo lo eliminará sino que ademas rtestaurará las claves de registro modificadas por el bicho !

Pruebalo esta noche y nos comentas el resultado, gracias

saludos

ms, 27-03-2007

Mensaje por **msc hotline sat** » 27 Mar 2007, 14:32

[quote="msc"]
MALWARE CAMILA:

Resumen de lo observado en primer analisis:

Se recibe al intentar ver un video de Camila ofrecido en un mensaje del MSN

El intento de ver este video descarga el fichero CAMILA.EXE , cuya ejecucion genera una copia exacta del troyano en C:\windows\CONFIG.EXE

La ejecucion de dicho fichero se instala en una clave del registro HKLM [autonomia]... RUN CONFIG.EXE que instala un fondo de pantalla AUTONOMIA,BMP (que se muestra al final) y que modifica varias claves criticas, que impiden:

- acceder al administrador de tareas

- editar el registro de sistema

- ejecutar ficheros con Inicio -> Ejecutar

- utilizar ventana de DOS

- modificar fondo de pantalla

Todo ello será controlado y restaurado a partir de la version 13.62 del ELISTARA

saludos

ms, 27-03-2007
[/quote]

camila · Mensaje por **camila** » 28 Mar 2007, 05:47

no 8( pero ya lo hice elimine la clave con hijack en modo de prueba de errores pero cuando entre al msn el virus sigui saliendoooo pero no guarde el hjt COMO lo puedo encontrar para enciarselos??

y como q tendre de nuevo el CONFIG.EXE en c:\windows,tengo q hacer lo mismo q la ota vez ponerlo en zip y ponerle clave y enviarselos?

o ya no es necesario y solo descargo el elistara el virus se eliminara??

el elistara 13.62 es el q puede eliminarlo?

grasiass po r su ayudaa!!

Mensaje por **msc hotline sat** » 28 Mar 2007, 05:52

Son muchas las claves afectadas por el malware camila, las que se han de restaurar, no solo las que se ven en el HJT...

Prueba el ELISTARA 13.62 o posterior y nos comentas el resultado, gracias

saludos

ms, 28-03-2007

camila · Mensaje por **camila** » 28 Mar 2007, 06:02

heyyy graciasss descargue el elistara y parece que ya no tengo el virussss GRACIAS . una pregunta como q son muchas las claves afectadas , es como si hubiera dañado algun programa o algo asi? como ya no sale el virus por el messenger significa q el virus ya no esta el la computadora o puede q siga ?

UN FAVORSOTE!! hay alguna manera apra bloquear o esconder el msn para q ya no entre mi hermana :D a ponerme virus y solo io pueda entrar?

GRACIASS POR TODOOO

:wink:

Mensaje por **msc hotline sat** » 28 Mar 2007, 06:55

En posts anteriores deciamos:

[quote]
La ejecucion de dicho fichero se instala en una clave del registro HKLM [autonomia]... RUN CONFIG.EXE que instala un fondo de pantalla AUTONOMIA,BMP (que se muestra al final) y que modifica varias claves criticas, que impiden:

- acceder al administrador de tareas

- editar el registro de sistema

- ejecutar ficheros con Inicio -> Ejecutar

- utilizar ventana de DOS

- modificar fondo de pantalla

Todo ello será controlado y restaurado a partir de la version 13.62 del ELISTARA
[/quote]

Desde la clave para la autoejecucion en cada reinicio hasta la ultima del fondo de pantalla, todas las incidencias o efectos causados son por claves modificadas, pero ya indicamos que con nuestra utilidad las restauramos.

No modifica otros programas, y entendemos que tras la restauracion de claves y eliminacion de los ficheros relacionados, que es lo que hace el ELISTARA, quedará limpio al respecto.

Sobre el impedir que nadie mas toque el MSN, desde ponerle atributo de oculto, hasta ponerle password de acceso, se puede hacer lo que se quiera.

saludos

ms, 28-03-2007

camila · Mensaje por **camila** » 29 Mar 2007, 05:35

:cry: malas noticias hoy entre al msn y me salio denuevo el viruss intente decargar el elistar pero volvi a entrar al msn y seguia saliendo el virus

:cry:

slds

Mensaje por **msc hotline sat** » 29 Mar 2007, 05:38

Pues posteanos el contenido de c:\infosat.txt para ver el historico y los procesos realizados.

Aparte lanza de nuevo el HJT y posteanos tambien el log resultante:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 29-03-2007

camila · Mensaje por **camila** » 29 Mar 2007, 05:44

lo q esta pasndo es q descargue el elistar y pareciara q el virus se borra pero al reiniciar la computadora el virus vuelve a aparace

Tue Mar 27 21:55:55 2007

EliStartPage v13.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AUWINLOGON]

Por favor, envienos una muestra del fichero

C:\WinLogon\AUWINLOGON.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Carpeta "%Archivos de Programa%\FunWebProducts"

Eliminada Carpeta "%Archivos de Programa%\MyWebSearch"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 28 21:23:27 2007

EliStartPage v13.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AUWINLOGON]

Por favor, envienos una muestra del fichero

C:\WinLogon\AUWINLOGON.DLL

a "virus@satinfo.es". Gracias.

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Carpeta "%Archivos de Programa%\FunWebProducts"

Eliminada Carpeta "%Archivos de Programa%\MyWebSearch"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Wed Mar 28 21:25:08 2007

EliStartPage v13.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\DRIVERS\VIDEO\IGFXHK.DLL --> Eliminado, MediaBack (BHO)

C:\IBMTOOLS\DRIVERS\VIDEO\INTEL\WXPW2K\WIN2000\IGFXHK.DLL --> Eliminado, MediaBack (BHO)

C:\WINDOWS\system32\IGFXHK.DLL --> Eliminado, MediaBack (BHO)

Wed Mar 28 21:33:48 2007

EliStartPage v13.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AUWINLOGON]

Por favor, envienos una muestra del fichero

C:\WinLogon\AUWINLOGON.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 28 21:34:14 2007

EliStartPage v13.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Mar 28 21:41:38 2007

EliStartPage v13.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AUWINLOGON]

Por favor, envienos una muestra del fichero

C:\WinLogon\AUWINLOGON.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Wed Mar 28 21:44:18 2007

EliStartPage v13.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AUWINLOGON]

Por favor, envienos una muestra del fichero

C:\WinLogon\AUWINLOGON.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

camila · Mensaje por **camila** » 29 Mar 2007, 05:45

Logfile of HijackThis v1.99.1

Scan saved at 09:51:36 p.m., on 28/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\igfxtray.exe

C:\Archivos de programa\SiteAdvisor\5248\SiteAdv.exe

C:\WINDOWS\System32\JVM0.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Automatic Update\AutoUpdate.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\PSIService.exe

C:\Archivos de programa\SiteAdvisor\5248\SAService.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\unzipped\hijackthis[1]\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\5248\SiteAdv.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\5248\SiteAdv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\5248\SiteAdv.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [JVM0] C:\WINDOWS\System32\JVM0.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {051FE707-9706-11D5-A836-000102A7C938} (Amadeus Automatic Update) - http://certificates.amadeusvista.com/SGWADMIN/common/AutoUpdateATL25P211.CAB

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://tefilove.spaces.live.com/PhotoUpload/MsnPUpld.cab?10,0,912,0

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172940881562

O17 - HKLM\System\CCS\Services\Tcpip\..\{F9384312-D049-47D8-B517-A3BBD59491F0}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\5248\SiteAdv.dll

O20 - Winlogon Notify: AUWinLogon - C:\WINDOWS\SYSTEM32\AUWinLogon.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Amadeus Automatic Update - Amadeus - C:\Archivos de programa\Automatic Update\AutoUpdate.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\System32\PSIService.exe

O23 - Service: SiteAdvisor Service - Unknown owner - C:\Archivos de programa\SiteAdvisor\5248\SAService.exe

camila · Mensaje por **camila** » 29 Mar 2007, 05:48

...cuando descargue elistar me hizo unas preguntas como si deseaba eliminar un host y una de que mi windsupsted estaba incompleto o algo asi ...q es windsupsted?