Nuevo virus (creo) (SOLUCIONADO)

olvidadizo · Mensaje por **olvidadizo** » 20 Abr 2006, 12:02

Hola a todos.

Soy un novato con un problema que busca una solución.

Tenia el Norton 2006 en una versión de prueba.

Cuando acabó el mes de rigor, no me dejó hacer nada, ni siquiera un scan de mi pc.

En un momento dado, al dia siguiente, en mi panatalla empezaron a aparecer cientos de ventanitas de norton proxy o algo así, dicendome que se se estaban mandando desde mi pc muchos correos electrónicos.

Como Norton no me dejaba scanear, lo desinstalé e instalé una versión de prueba del McAfee. Al reiniciar el pc empezaron a salir ventanas (decenas) del McAfee dicendo que se estaba intentando mandar más de 5 correos por cada 30 segundos, hice un scan y no me vio nada, me dijo que no tenia virus.

Desinstalé el Mc Afee para instalar uno que me recomendó un amigo, el e-trust.

El e-trust no me encuentra nada por lo que todo me hace pensar que es un virus para el que todavía no se ha encontrado solución. Tampoco me encontró nada el spyware s&d ni el ad-awareSE

Para daros más datos por si os suena y sabéis cual puede ser os diré que se empieza a activar cuando en la administraciónm de tareas (en procesos) aparece el programa ~~[b]~~xxmodulb....exe [/b]donde xx es un número de dos cifras y ... es algo que no logro recordar.

Me fui a: buscar en mi pc y puse este archivo y me encontró alrededor de 15 iguales donde variaba el número de 2 cifras. Los eliminé y vacié la papelera de reciclaje.

Al reiniciar el pc volvió a pasar, me pidió que me conectara a la red (tengo adsl pero no se conecta automáticamente akl iniciar windows) lo hice y empezaron a parecer otra vez los famosos xxmodulb..... exe.

Volvía buscar y me llevó a donde antes en documents&settings/user/configuracion local/temp donde user es mi nombre de usuario. allí, por fecha ví que habia un programa llamdo install cuya fecha de creación coincidía con el dia que empecé a tener problemas y me lo cargué por eliminar-vaciar papelera.

Desde entonces no se ejecuta ningún xxmodulb...exe pero cuando reinicio me pide que acceda a internet y esto antes solo lo hacía cuando pinchaba en el icono de explorador, messenger o outlook.

Simplemente os pido información sobre lo que me está pasando. y como elimino la amenaza de manera fiable y definitiva. Todos los antivirus y antispy que he pasado los actualicé antes de pasarlos. Esto me pasó el domingo 16 y desde entonces casi ni duermo pensando en esto.

Por cierto, tb he podido infectar a mis contactos y me gustaría informarles, pero no sé ni el nombre del virus.

He pasado tb algunos antivirus específicos desde la pagina de alarma-antivirus para el netsky en todas sus variantres y el Zafi también en sus variantes, y nada.

Por ciertto, mi SO es Xp sp2 con todas las actualizaciones. En dos de las veces que reinicié me puso un aviso windows diciéndome que tenia el firewall deasctivado, y yo no lo había desactivado.

Siento no ser un experto para poder expresarme mejor y así no meter todo este rollo.

Gracias de antemano y un saludo.

olvidadizo · Mensaje por **olvidadizo** » 20 Abr 2006, 12:22

Leyendo otros temas de este foro he pasado el hijackthis y me pone lo siguiente

Logfile of HijackThis v1.99.1

Scan saved at 12:16:55, on 20/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

G:\antivirus trust\eTrust EZ Antivirus\ISafe.exe

D:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

D:\WINDOWS\System32\svchost.exe

G:\antivirus trust\eTrust EZ Antivirus\VetMsg.exe

D:\WINDOWS\system32\fxssvc.exe

D:\WINDOWS\Explorer.EXE

D:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

G:\qttask.exe

G:\antivirus trust\caissdt.exe

G:\antivirus trust\eTrust EZ Antivirus\CAVTray.exe

G:\antivirus trust\eTrust EZ Antivirus\CAVRID.exe

D:\Archivos de programa\Messenger\msmsgs.exe

D:\WINDOWS\system32\svchost.exe

D:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

G:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bgnnjfyosfbnqirwir.com/ZtdSQutU/fH_7t4DScIrPehKbLlGl03mRWKmhvuX5z6j65HoFxnDzZUSdAKdipD2.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [Smapp] D:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [AgenteADSL_15] D:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7

O4 - HKLM\..\Run: [TkBellExe] "D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "G:\qttask.exe" -atboottime

O4 - HKLM\..\Run: [.nvsvc] D:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [CaISSDT] "G:\antivirus trust\caissdt.exe"

O4 - HKLM\..\Run: [CaAvTray] "G:\antivirus trust\eTrust EZ Antivirus\CAVTray.exe"

O4 - HKLM\..\Run: [CAVRID] "G:\antivirus trust\eTrust EZ Antivirus\CAVRID.exe"

O4 - HKCU\..\Run: [MSMSGS] "D:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = E:\office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - res://D:\WINDOWS\GoogleToolbar.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://D:\WINDOWS\GoogleToolbar.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://D:\WINDOWS\GoogleToolbar.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://D:\WINDOWS\GoogleToolbar.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.es

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - http://www.amiuptodate.com/vsc/bin/1,0,0,9/McUpdatePortal.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104496646813

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1145398474562

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www4.aeat.es/es13/h/cactivex.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: CAISafe - Computer Associates International, Inc. - G:\antivirus trust\eTrust EZ Antivirus\ISafe.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - G:\antivirus trust\eTrust EZ Antivirus\VetMsg.exe

O23 - Service: Windows Log - Unknown owner - D:\WINDOWS\system32\nvsvcd.exe

Mi pc tiene 6 particiones y dos SO, el Xp sp2 y el w98, me da la opción de elegir al encender el pc.

Gracias de antemano de nuevo y un saludo

Mensaje por **msc hotline sat** » 20 Abr 2006, 13:07

Hay varios ficheros sospechosos en claves de este log:

Este html es desconocido y puede ser cualquier cosa:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bgnnjfyosfbnqirwir.com/ZtdSQutU/fH_7t4DScIrPehKbLlGl03mRWKmhvuX5z6j65 HoFxnDzZUSdAKdipD2.html

Este SMSS.EXE se lanza desde una carpeta que no es del sistema,pues esta deberia ser SYSTEM32 no SYSTEM;

O4 - HKLM\..\Run: [.nvsvc] D:\WINDOWS\system\smss.exe /w

Este es desconocido y hay que examinarlo
Olvidarlo: Se supone que puede ser del antivirus que usas
O4 - HKLM\..\Run: [CaISSDT] "G:\antivirus trust\caissdt.exe"

Este es de un virus conocido por el ELITRIIP

O23 - Service: Windows Log - Unknown owner - D:\WINDOWS\system32\nvsvcd.exe

De entrada baja el ELITRIIP y lanzalo y tras ello, posteanos el contenido del C:\infosat,txt y veremos lo que ha detectado y obratermos en consecuencia.

Mientras, una vez pasado el ELITRIIP, mueve a cuarentena los ficheros de las claves indicadas, que no hayan sido eliminados:

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

saludos

ms, 20-4-2006

olvidadizo · Mensaje por **olvidadizo** » 21 Abr 2006, 10:59

Disculpa mi ignorancia en estos temas, no he enciontrado por ningun lado c:/infosat,txt ni c:/infosat.txt

He pasado el ebaglia poniendo cada una de las particiones en cada exploración. En todas las particiones me pone infectados 0, eliminados 0.

Por otro lado el e-trust de ca, cuando he ejecutasdo el ebaglia me decia que habia encontrado el virus win32.Boxed.BP aunque no lo he eliminado porque supuse que seria el ebaglia. Ejecuté el ebaglia con el e-trust funcionando porque no supe desactivar el antivirus.

Por cierto, todos los archivos xxmodulb.... exe han desaparecido y no han vuelto a aparecer aunque ahora en documents&settings/user/configuracion local/temp me aparecen 20exssd32a.exe , 23xssd32a.exe 25xssd32a.exe 37xssd32a.exe 42exssd32a.exe 49exssd32a.exe 58exssd32a.exe 81exssd32a.exe y el archivo install asociado a ellos, creado en la misma carpeta y con la misma fecha.

Por otro lado, y perdona otra vez, no sé a que te refieres cuando dices que el archivo smss.exe es desconocido y hay que "examinarlo".

Lo de nsvcd.exe, que debe ser reconocido por el elitrip, pues creo que no, ya te dije que en todas las particiones me pone infetados 0, eliminados 0.

Te ruego me digas porque puede ser que el elitrip no me detecte esto, y que puedo hacer para solucionar mi problema. He visto en otros post que te envian los archivos .exe en un zip, podría ser esto una solcuión?

Gracias de antemano y un saludo

olvidadizo · Mensaje por **olvidadizo** » 21 Abr 2006, 12:07

he hecho el hjt mienteras se ejecutaba el programa raro ese 85exmodul32.exe, para ver si ahí se puede ver algo.

Logfile of HijackThis v1.99.1

Scan saved at 12:02:18, on 21/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

G:\antivirus trust\eTrust EZ Antivirus\ISafe.exe

D:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\fxssvc.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

G:\qttask.exe

G:\antivirus trust\caissdt.exe

G:\antivirus trust\eTrust EZ Antivirus\CAVTray.exe

G:\antivirus trust\eTrust EZ Antivirus\CAVRID.exe

D:\Archivos de programa\Messenger\msmsgs.exe

D:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

D:\Archivos de programa\Internet Explorer\iexplore.exe

G:\antivirus trust\eTrust EZ Antivirus\VetMsg.exe

D:\WINDOWS\system32\taskmgr.exe

D:\WINDOWS\system32\svchost.exe

D:\Archivos de programa\Internet Explorer\iexplore.exe

D:\WINDOWS\TEMP\85exmodul32.exe

G:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bgnnjfyosfbnqirwir.com/ZtdSQutU/fH_7t4DScIrPehKbLlGl03mRWKmhvuX5z6j65HoFxnDzZUSdAKdipD2.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [Smapp] D:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [AgenteADSL_15] D:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7

O4 - HKLM\..\Run: [TkBellExe] "D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "G:\qttask.exe" -atboottime

O4 - HKLM\..\Run: [.nvsvc] D:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [CaISSDT] "G:\antivirus trust\caissdt.exe"

O4 - HKLM\..\Run: [CaAvTray] "G:\antivirus trust\eTrust EZ Antivirus\CAVTray.exe"

O4 - HKLM\..\Run: [CAVRID] "G:\antivirus trust\eTrust EZ Antivirus\CAVRID.exe"

O4 - HKCU\..\Run: [MSMSGS] "D:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = E:\office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - res://D:\WINDOWS\GoogleToolbar.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://D:\WINDOWS\GoogleToolbar.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://D:\WINDOWS\GoogleToolbar.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://D:\WINDOWS\GoogleToolbar.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.es

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - http://www.amiuptodate.com/vsc/bin/1,0,0,9/McUpdatePortal.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104496646813

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1145398474562

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www4.aeat.es/es13/h/cactivex.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: CAISafe - Computer Associates International, Inc. - G:\antivirus trust\eTrust EZ Antivirus\ISafe.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - G:\antivirus trust\eTrust EZ Antivirus\VetMsg.exe

Gracias de nuevo y un saludo

Mensaje por **msc hotline sat** » 21 Abr 2006, 13:15

No, si no desactivas el antivirus residente, ninguna utilidad podrá acercarse a los ficheros que dicho antivirus te detecte infectados, porque les protege el acceso, por lo cul ni los mirará.

Por ello debes arrancar en modo seguro y asi no tendrás residente el antivirus y el ELISTARA podrá acercarse a todos los ficheros

Sobre el smss.exe de:

O4 - HKLM\..\Run: [.nvsvc] D:\WINDOWS\system\smss.exe /w

en el registro tienes la carga del mismo, y el normal está en system32, no en systemn como este

y cuando lo tengas, ya te diremos como enviarnoslo, pero si no lo encuentras...

saludos

ms, 21-4-2006

olvidadizo · Mensaje por **olvidadizo** » 21 Abr 2006, 19:18

Ya he`pasado el elitri ip, te adjunto el texto de infosat.txt

Fri Apr 21 19:00:53 2006

EliTriIP v2.07 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

D:\DOCUME~1\MELCHOR.ABC\CONFIG~1\TEMP\SMSS.EXE.Muestra EliTriIP v2.07

a "virus@satinfo.es". Gracias.

D:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] ".nvsvc"="D:\WINDOWS\system\smss.exe /w"

Te mando esta muestra por correo, a ver si podemos saber que es.

Un saludo y muchas gracias.

Mensaje por **msc hotline sat** » 21 Abr 2006, 20:02

Bien, pero ya no has de preocuparte por él, el ELITRIIP lo ha sacado de circulacion

A ver si te puedo subir el ELISTARA para que controles el otro DLL.

Olvida el ultimo parrafo, tras subirla, veo que no eras para tí..., voy a ver para quien era :oops:

Bueno, el lunes lo examinamos y te decimos lo que era

saludos

ms, 21-4-2006

olvidadizo · Mensaje por **olvidadizo** » 23 Abr 2006, 21:03

Muchas gracias, espero entonces vuestra respuesta, para ampliar información os diré que los archivos que os comentaba del tipo 97exssd32a siguen estando en mi pc (11 ejecutables en total), por lo que temo vuelva a reproducirse el virus. Es posible esto? los elimino directamnetre y vacio papelera??

Gracias de nuevo y saludos

Mensaje por **msc hotline sat** » 23 Abr 2006, 21:13

Pues envianoslos igual que el otro y los analizarenmos, a ver de donde salen...

saludos

ms, 23-4-2006

Mensaje por **msc hotline sat** » 26 Abr 2006, 16:25

Recibidas las muestras, estan siendo implementadas en la version de hoy del ELITRIIP ya que han sido consideradas BACKDOORS DE IRC, esto es, IRCBOT

Esta noche lo descarga y tras ejecutarlo se normalizarán claves y ficheros al respecto

saludos

ms, 26.4.2006

Mensaje por **msc hotline sat** » 26 Abr 2006, 19:19

Subidas nuevas versiones...

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 26-4-2006

olvidadizo · Mensaje por **olvidadizo** » 27 Abr 2006, 00:01

Hola, he hecho lo que me dijisteis elitrip en modo seguro (desinfectó 3 virus, 1 en c: y 2 en d:), reinicié volvi a pasarlo y nada de nada.

Pero para asegurarme le di a la busqueda de windows y puse buscar smss y me apreceiron 8 entradas

Una en C:\$WIN_NT$.~LS\I386 como extensión EX_

Otra en D:\WINDOWS\repair como extensión ASR

Otra en D:\WINDOWS\Prefetch como extensión pf (se llama SMSS.EXE-1A710F92.pf)

Y 5 ejecutables

Uno en C:\$WIN_NT$.~BT\system32

otro en C:\$WIN_NT$.~LS\I386\system32

otro en D:\WINDOWS\system32

otro en D:\WINDOWS\$NtServicePackUninstall$

y otro en D:\WINDOWS\ServicePackFiles\i386

No sé esto que significa y si está correcto o no. Sigo un poco preocupado de que estén ahí.

Por cierto, al iniciar el elitrip tanto en modo seguro como normal me dijo que si queria bloquear un tcpp4 o algo así, y me lo dijo las 2 veces.

Por otro lado, he descubierto que tengo una carpeta con virus en cuarentena de cuando tenia el norton que ya desactivé, como los elimino??

Gracias de nuevo, siento dar tanto la murga. Un saludo

Mensaje por **msc hotline sat** » 27 Abr 2006, 08:56

Normalmente el SMSS.EXE es un fichero del sistema operativo

Deja estar los que el antivirus no te detecte como virics.

La carpeta de cuarentena la puedes borrar desactivando el antivirus residente o arancando en modo seguro

Y solucionado el problema, provcedemos a cerrar el Tema

saludos

ms, 27-4-2006