Tengo un virus y no se como eliminarlo (SOLUCIONADO)

[gabo madrid]

Buenas. Me gustaria que alguien me pudiera ayudar con un problemiya que tengo.

Tengo un virus que me afecta al messenger. Cuando me conecto y estoy unos minutos comienza a abrirme y cerrarme todas las ventanas de mis contactos enviando esta direccion:



http://o%20na%20net,%20acabei%20me%20esbarrando%20em%20uma%20foto%20que%20me%20lembrou%20muito%20ns%20doishttp//uk.geocities.com/vipsdirect/vips.html



Por lo que se me hace imposible el poder hablar por msn.

Espero que me podais ayudar y darme alguna solucion, ya que mi fuerte no es los ordenadores y eso...

Espero ayuda. gracias.Un saludo

[msc hotline sat]

Muchos de los virus de messenger son controldos ya por el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso







Y si no detectara nada ni pidiera envio de muestras, analizariamos el log del HJT, pero tiempo al tiempo...





saludos



ms, 25-04-2007

[gabo madrid]

la informacion que me aparecia en el documento es esta:



EliStartPage v13.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE





Al conectarme en el msn otra vez se me a repetido el problema... :?



Espero que me puedas seguir ayudando. Muchas gracias

[lucl]

Pues ejecuta de nuevo elistara pues te falta que le des a explorar cuando se abre el cuadro grande, hazlo y peganos el log de nuevo, saludos

[gabo madrid]

Wed Apr 25 22:37:57 2007

EliStartPage v13.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Por favor, envienos una muestra del fichero

"E:\Autorun.inf" a "virus@satinfo.es". Gracias.



Wed Apr 25 22:38:20 2007

EliStartPage v13.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{BDCA642E-56AA-4046-BAB1-93AAD0F7378B}\RP107\A0027734.DLL --> Eliminado, MyWebSearch

C:\System Volume Information\_restore{BDCA642E-56AA-4046-BAB1-93AAD0F7378B}\RP107\A0027735.DLL --> Eliminado, MyWebSearch

C:\System Volume Information\_restore{BDCA642E-56AA-4046-BAB1-93AAD0F7378B}\RP107\A0027737.DLL --> Eliminado, MyWebSearch

C:\System Volume Information\_restore{BDCA642E-56AA-4046-BAB1-93AAD0F7378B}\RP107\A0027739.DLL --> Eliminado, MyWebSearch

C:\System Volume Information\_restore{BDCA642E-56AA-4046-BAB1-93AAD0F7378B}\RP107\A0027765.DLL --> Eliminado, MyWebSearch







Pues esto es lo que me pedias no?jeje. Y ahora el siguiente paso es...¿? Se agradece mucho la ayuda. saludos

[msc hotline sat]

Posteanos tambien el contenido de este fichero "E:\Autorun.inf"



y dinos si tu unidad E: es Disco duro, CD o pendrive, gracias



En funcion de ello procederemos



saludos



ms, 26-04.2007

[gabo madrid]

La informacion que me aparece en ese documento es:



[AutoRun]

open=AutoRun.exe

icon=escritorio.ico





La unidad E: es pendrive.



Espero que sea esto lo que me pedias.jeje.

Gracias.



Un saludo.

[gabo madrid]

En la contestacion al ultimo mensaje me confundi. La unidad E: es de tipo CD. lo siento, se me a ido la cabeza...jeje

Gracias una vez mas

[msc hotline sat]

Entonces tranquilo, es logico en un CD, no asi si fuera un pendrive.



Pues tras todo lo hecho, mira si pesiste alguna anomalia y si no ya daremos el tema por solucionado



Comentanos el rsultado en cualquier caso, gracias



saludos



ms, 26-04-2007

[gabo madrid]

Pues siento decir que el problema aun sigue..:S



Cuando me conecto y estoy unos minutos se abren y cierran las ventanas de los contactos y se escribe solo la direccion que ya indique... vamos que sigue como antes...:S



Espero seguir recibiendo ayuda. jeje. saludos

[msc hotline sat]

Pues posteanos log del HJT a ver que mas tienes:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 26-04-2007

[gabo madrid]

Logfile of HijackThis v1.99.1

Scan saved at 16:21:04, on 26/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus 2007\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Antivirus 2007\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\acs.exe

C:\WINDOWS\system32\bmwebcfg.exe

C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\system32\DVDRAMSV.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Panda Software\Panda Antivirus 2007\PsImSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Panda Software\Panda Antivirus 2007\apvxdwin.exe

C:\WINDOWS\Explorer.EXE

c:\archivos de programa\panda software\panda antivirus 2007\WebProxy.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe

C:\Archivos de programa\TOSHIBA\Tvs\TvsTray.exe

C:\Archivos de programa\TOSHIBA\ConfigFree\NDSTray.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

C:\WINDOWS\system32\TPSBattM.exe

C:\Archivos de programa\TOSHIBA\Touch and Launch\PadExe.exe

C:\WINDOWS\System32\DLA\DLACTRLW.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Telefónica Móviles\Escritorio movistar\EMMSN.exe

C:\Archivos de programa\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Ares Lite Edition\AresLite.exe

C:\WINDOWS\System32\SCardSvr.exe

C:\windows\msnmsgr2.exe

C:\windows\browseui.exe

C:\WINDOWS\system32\RAMASST.exe

C:\Archivos de programa\Ulead Systems\Photo Express 4.0 Mi Edicion Personalizada\CalCheck.exe

C:\Archivos de programa\Telefónica Móviles\Escritorio movistar\bmctl.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Windows Live Toolbar\msn_sl.exe

C:\DOCUME~1\Portatil\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

C:\Archivos de programa\Messenger\msmsgs.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [THotkey] C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [Tvs] C:\Archivos de programa\TOSHIBA\Tvs\TvsTray.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [SmoothView] C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

O4 - HKLM\..\Run: [PadTouch] C:\Archivos de programa\TOSHIBA\Touch and Launch\PadExe.exe

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Escritorio movistar] "C:\Archivos de programa\Telefónica Móviles\Escritorio movistar\EMMSN.exe" -systray

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Archivos de programa\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [areslite] "C:\Archivos de programa\Ares Lite Edition\AresLite.exe" -h

O4 - HKCU\..\Run: [Live Messenger] C:\windows\msnmsgr2.exe

O4 - HKCU\..\Run: [Interface de usuário do navegador do Shell] C:\windows\browseui.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O4 - Global Startup: Ulead Photo Express 4.0 Calendar Checker para Mi Edicion Personalizada.lnk = C:\Archivos de programa\Ulead Systems\Photo Express 4.0 Mi Edicion Personalizada\CalCheck.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Archivos de programa\MP3 Player Utilities 4.00\AMVConverter\grab.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.00\MediaManager\grab.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gabo-22.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8EFC7824-AD44-45ED-86E7-487BD331683E}: NameServer = 194.179.1.100 194.179.1.101

O17 - HKLM\System\CCS\Services\Tcpip\..\{BBAD1CB3-8A06-4B17-9742-FD6C910B6489}: NameServer = 194.179.36.18

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Servicio de configuración de Atheros (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus 2007\pavsrv51.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus 2007\PsImSvc.exe

O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Archivos de programa\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

[msc hotline sat]

La presencia del C:\windows\msnmsgr2.exe es significativa:



Prueba el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



SALUDOS



MS, 26-04-2007

[gabo madrid]

Buenas, el resultado del Elistara a sido este:



Thu Apr 26 17:53:44 2007

EliStartPage v13.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Por favor, envienos una muestra del fichero

"E:\Autorun.inf" a "virus@satinfo.es". Gracias.



Bueno este paso ya lo dimos pero de todas formas ahi tienes el resultado. Gracias...y espero las proximas indicaciones :wink:

[msc hotline sat]

Pues no es lo que esperabamos.



Envianos muestra de este fichero, que es el que vemos sospechoso:



C:\windows\msnmsgr2.exe



recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 26-04-2007

[gabo madrid]

Pues he ido al fichero este que esta en C:window , es un icono con el logo de msn y no me deja entrar ni hacer nada:S lo unico que e podido hacer es mirar la fecha de cuando fue creado:que fue el 19 de abril y modificado el 17 de abril:s...

Tampoco me deja eliminarlo...

igua me pedias otra cosa...pero esto es lo que e encontrado

no tengo mas informacion:S espero instrucciones.gracias

[msc hotline sat]

Simplemente es que adjuntes este fichero a un mail dirigido a nosotros:



C:\windows\msnmsgr2.exe



como se indica en https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y por si estuviera oculto, recuerda:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 26-04-2007

[gabo madrid]

Ya envie el fichero que me indicaste por mail. He tenido bastantes problemas ya que a la hora de adjuntarlo el virus en los campos para escribir pues escribia la direccion que ya indique...



Espero indicaciones. Un saludo.

[msc hotline sat]

Recibida la muestra, entra en proceso de analisis



saludos



ms, 27-04-2007

[msc hotline sat]

Pues aunque el primer virus con este nombre ya lo controlamos en version de hace 1 mes del ELISTARA:



ELISTARA ---v13.37-(20 de Febrero del 2007) (Muestras de (3)Puper, Vundo(notify), FakeAlert '******.DLL', RXBar 'SFCONT.DLL', PWS-MMThief 'JBLOADER.DLL', Dialer-InstantAccess(DPF) 'EGACCESS*.DLL', (3)Banker 'KERNEL.EXE, MSNMSGR2.EXE y NOTEEPAD.EXE', DownLoader-Small 'KERNELS88.EXE' y Malware 'CMAUDIO.EXE')





Este resulta ser una nueva variante, que a pesar de utilizar el mismo nombre, tiene diferentes cadenas y por ello no es detectado.



McAfee ya lo detecta como New malware, esto es, que heuristicamente ya lo considera malicioso y lo intercepta, y como él algunos antivirus, como se ve en el resumen del VirusTotal, que aun sin terminar porque se ha cortado el analisis, ya se aprecia los que lo controlan :


[quote="VirusTotal"]
ESTADO: DETENIDOEl sistema se encuentra detenido en estos momentos. Su muestra no ha terminado de ser analizada y el resultado se ha perdido. Si desea analizarla deberá enviarla de nuevo.



Antivirus Version Actualización Resultado

AhnLab-V3 2007.4.28.0 27.04.2007 no ha encontrado virus

AntiVir 7.4.0.15 27.04.2007 TR/Delphi.Downloader.Gen

Authentium 4.93.8 26.04.2007 Possibly a new variant of W32/Threat-SysVenFakP-based!Maximus

Avast 4.7.981.0 26.04.2007 no ha encontrado virus

AVG 7.5.0.464 26.04.2007 no ha encontrado virus

BitDefender 7.2 27.04.2007 no ha encontrado virus

CAT-QuickHeal 9.00 27.04.2007 (Suspicious) - DNAScan

ClamAV devel-20070416 27.04.2007 no ha encontrado virus

DrWeb 4.33 27.04.2007 Trojan.PWS.Banker.8753

eSafe 7.0.15.0 27.04.2007 Suspicious Trojan/Worm

eTrust-Vet 30.7.3599 27.04.2007 Win32/Bancos.HEN

Ewido 4.0 27.04.2007 Trojan.Banker

FileAdvisor 1 27.04.2007 no ha encontrado virus

Fortinet 2.85.0.0 27.04.2007 no ha encontrado virus

F-Prot 4.3.2.48 26.04.2007 W32/Threat-SysVenFakP-based!Maximus

F-Secure 6.70.13030.0 27.04.2007 no ha encontrado virus

Ikarus T3.1.1.5 27.04.2007 Backdoor.Win32.Advertor

Kaspersky 4.0.2.24 27.04.2007 no ha encontrado virus

McAfee 5019 27.04.2007 New Malware.aw

Microsoft 1.2405 27.04.2007 no ha encontrado virus

NOD32v2 2224 27.04.2007 a variant of Win32/Banwor.NC

Norman 5.80.02 27.04.2007 no ha encontrado virus

Panda 9.0.0.4 27.04.2007 Suspicious file





Información adicional

Tamaño archivo: 268288 bytes

MD5: df07846d1a3e1dffcafd0dc061c46e62

SHA1: affda63f999eb3160276c2f1337cc86d21d5b5c2

packers: PECOMPACT
[/quote]

Vease que por ordena alfabetico algunos conocidos como Avast, AVG, BITDEFENDER, F-Secure, Kaspersky o Norman ni siquiera lo huelen :lol:



Lo controlaremos en la version 13.87 del ELISTARA, pero de momento arranque en modo seguro y elimine este fichero:



C:\windows\msnmsgr2.exe



y en dicho modo lance el HJT, y elimine esta clave:



O4 - HKCU\..\Run: [Live Messenger] C:\windows\msnmsgr2.exe





Para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 27-04-2007

[gabo madrid]

Pues ya he hecho lo que me pediste;). Espero mas instrucciones. Muchas gracias una vez mas

[msc hotline sat]

Pues tras reiniciar diganos si persiste algun problema o ya se han solucionado, gracias



saludos



ms, 28-04-2007

[gabo madrid]

Mil gracias!;) He estado mirando y tal...y he visto que por ahora el problema esta solucionado. Por lo menos no a dado acto de presencia!jeje. Bueno espero que todo vaya bien, y eso..que muchas gracias por haberme ayudado a solucionar el problema;) saludos

[msc hotline sat]

[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]





Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 30-4-2007