AYUDA CON VIRUS!!

[maing48]

BUENAS TARDES. QUISIERA QUE ME AYUDEN CON UN VIRUS QUE ME ESTA VOLVIENDO LOCO, SE PRESENTA EN LA BARRA DE TAREAS Y ME SALE UN MENSAJE DE ¡ALERTA DE VIRUS!, LE HE PASADO EL hijackthis Y ME SALE ESTO. A VER SI ALGUIEN ME AYUDA A SOLUCIONAR EL PROBLEMA. GRACIAS....MANUEL



Logfile of HijackThis v1.99.1

Scan saved at 04:24:18 p.m., on 24/07/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\msdtc.exe

C:\WINNT\system32\Dfssvc.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\ismserv.exe

C:\WINNT\System32\llssrv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlservr.exe

C:\WINNT\system32\ntfrs.exe

C:\Program Files\Persystems\Perav\PERVAC.EXE

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\locator.exe

C:\WINNT\system32\MSTask.exe

C:\Program Files\Spyware Doctor\sdhelp.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\dns.exe

C:\WINNT\system32\inetsrv\inetinfo.exe

C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\igfxtray.exe

C:\WINNT\system32\hkcmd.exe

C:\WINNT\RTHDCPL.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\PROGRA~1\PERSYS~1\Perav\PAV.EXE

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Common Files\{A8DCE03F-0BB8-1033-0429-050304200033}\Update.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Spyware Doctor\swdoctor.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\PROGRA~1\PERSYS~1\Perav\PERTSK.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Julio\Desktop\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: (no name) - {62539E1A-F3C4-B61D-5B3F-0388CFC61A55} - C:\DOCUME~1\Julio\APPLIC~1\MEDIAP~1\GlobalSite.exe

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [PAV.EXE] C:\PROGRA~1\PERSYS~1\Perav\PAV.EXE

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Mail gpl idol long] C:\Documents and Settings\All Users\Application Data\Eq Axis Mail Gpl\Eggs New.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [SizeOne] C:\DOCUME~1\Julio\APPLIC~1\CHICSE~1\Start heart.exe

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q

O4 - Global Startup: Actualización de PER Antivirus.lnk = C:\Program Files\Persystems\Perav\PERUPD.EXE

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mph.local

O17 - HKLM\System\CCS\Services\Tcpip\..\{BB441A6C-90D3-4C27-85B9-ABD3039AFEF2}: NameServer = 192.168.1.150

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mph.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mph.local

O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: winrge32 - winrge32.dll (file missing)

O21 - SSODL: altmannsberger - {210b4043-35ca-4aa0-8796-191f9663dfb3} - C:\Documents and Settings\Julio\Application Data\Microsoft\Outlook.dll

O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\Documents and Settings\Julio\Application Data\Microsoft\Outlookf.dll (file missing)

O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINNT\system32\pmnqguh.dll (file missing)

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: PER Antivirus (pav_service) - PER Systems S.A. - C:\Program Files\Persystems\Perav\PERVAC.EXE

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe

[msc hotline sat]

Eliminar estas claves:



O20 - Winlogon Notify: winrge32 - winrge32.dll (file missing)



O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\Documents and Settings\Julio\Application Data\Microsoft\Outlookf.dll (file missing)



O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINNT\system32\pmnqguh.dll (file missing)







y enviarnos muestras de estos ficheros muy sospechosos



C:\Documents and Settings\Julio\Application Data\Microsoft\Outlook.dll



C:\DOCUME~1\Julio\APPLIC~1\CHICSE~1\Start heart.exe







Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF maing48" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.









y ESTAS DOS APLICACIONES NO LAS CONOCEMOS. :



C:\DOCUME~1\Julio\APPLIC~1\MEDIAP~1\GlobalSite.exe



C:\DOCUME~1\Julio\APPLIC~1\MEDIAP~1\GlobalSite.exe





Diganos si son voluntarias o no, para obrar en consecuencia



Y tras recibir las muestras, las analizaremos e informaremos, implementando en nuestras utilidades su control y eliminacion si procede.



saludos



ms, 25-7-2006

[maing48]

Estimado Amigo, quisiera saber como puedo eliminar las claves que me señalas(¿tengo que eliminarlos desde el REGISTRO del SISTEMA o no?) porque cuando busco los archivos winrge32.dll, pmnqguh.dll en windows no los encuentro, asimismo quisiera saber como puedo enviarte las muestras de Outlook.dll y Start heart.exe que me pides para que las analices(¿tengo que adjuntarte los archivos?). con respecto a los archivos GLOBALSITE.exe estos se han agregado desde que comenzo a salir el fastidioso mensaje que te señalo.



Espero me ayudes.Te lo agradecere mucho.........Manuel

[msc hotline sat]

Como indicaba en mi anterior post, el envio de muestras debe efectuarse anexandolas a un mail que nos envies a la direccion enviada indicando como referencia tu nick lo cual resumo junto con lo de eliminar claves, que tienes razón, no indicaba como:





______________________________________

SOLICITUD DE MUESTRAS





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.



______________________________________

ELIMINACION DE CLAVES CON HJT





Lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:







saludos



ms, 27-7-2006

[marcosd222]

Buenas Buenas!.... publico este post para solicitar ayuda ya que se me abren muchas ventanas aparentemente de windows (que no lo son) informandome que mi maquina ha sido infectada cn virus, spyware y adware, cuando hago click a las ventanas se me abre una pagina de un antivirus el cual me lo ofrecen para vendermelo..... no he podido eliminarlo ni con el norton ni el panda... la situacion ha mejorado un poco con el McAfee.... publico el log del hijack para q me digan q procesos puedo eliminar:



Logfile of HijackThis v1.99.1

Scan saved at 19:01:40, on 30/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\archiv~1\mcafee\mcafee antispyware\massrv.exe

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\isnotify.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\WINDOWS\LTMSG.exe

C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MSKAgent.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe

C:\archiv~1\mcafee\MCAFEE~1\masalert.exe

C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Documents and Settings\Marcos Luis\Escritorio\hijackthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.co.ve

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.ve/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.co.ve

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.ve/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\system32\ixt0.dll (file missing)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Archivos de programa\Go!Zilla\GoIEHlp.dll (file missing)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Internetextrastorehide] C:\Documents and Settings\All Users\Datos de programa\Loud bike internet extra\Bendcreative.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [LTMSG] LTMSG.exe 7

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [BHR3.5] C:\Archivos de programa\Zamaan's Software\Browser Hijack Retaliator 3.5\BHR3.5.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MSKAgent.exe

O4 - HKLM\..\Run: [MSKDetectorExe] C:\ARCHIV~1\McAfee\SPAMKI~1\MSKDetct.exe /startup

O4 - HKLM\..\Run: [MPFExe] C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [_AntiSpyware] c:\archiv~1\mcafee\MCAFEE~1\masalert.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\RunServices: [WinExec] C:\WINDOWS\Winexec.exe.vbs

O4 - HKLM\..\RunServices: [MSIEXEC] C:\WINDOWS\MSIEXEC32.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WinExec] C:\WINDOWS\WinExec.exe.vbs

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [POPUPWATCH] C:\Archivos de programa\BulletProofSoft.com\SpywareRemover\popup-watch\PopUpWatch.exe /STARTUP

O4 - HKCU\..\Run: [Go!Zilla] "C:\Archivos de programa\Go!Zilla\gozilla.exe" /tray

O4 - HKCU\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MSKAgent.exe

O4 - HKCU\..\Run: [JunkRect] C:\DOCUME~1\MARCOS~1\DATOSD~1\FORKKI~1\Online Dart Stop.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Download with Go!Zilla - file://C:\Archivos de programa\Go!Zilla\download-with-gozilla.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148257939555

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: winthr32 - winthr32.dll (file missing)

O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll

O23 - Service: McAfee AntiSpyware Service - McAfee, Inc. - c:\archiv~1\mcafee\mcafee antispyware\massrv.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe

O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe



Agradeciendo de antemano su atención me despido....

[msc hotline sat]

En primer lugar no se permite postear logs de mas de un ordenador por Tema



Abre un nuevo Tema para tu problema, el cual puedes ponerle el titulo "VENTANAS CON FALSOS AVISOS DR VIRUS" pero antes de postear el log del HJT, empieza por donde se debe:



https://foros.zonavirus.com/viewtopic.php?f=13&t=5148



Tras ello, si no se resuelven los problemas, puedes postearnos el log indicandonos los que persisten, y si quieres nos puedes ir enviando muesrtras de estos ficheros para ganar tiempo:





C:\Documents and Settings\All Users\Datos de programa\Loud bike internet extra\Bendcreative.exe



C:\WINDOWS\Winexec.exe.vbs



C:\WINDOWS\MSIEXEC32.EXE



C:\WINDOWS\WinExec.exe.vbs



C:\Archivos de programa\Go!Zilla\gozilla.exe



C:\DOCUME~1\MARCOS~1\DATOSD~1\FORKKI~1\Online Dart Stop.exe



C:\WINDOWS\system32\pmnqguh.dll



Son todos los posibles sospechosos que tienes en tu ordenador.





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF marcosd222" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.



saludos



ms, 1-8-2006

[msc hotline sat]

Memsaje para el autor del tema (maing48):





Recibido un zip con 2 ficheros , de los cuales un START HEART.EXE de 0 bytes, con el que no hay nada que ver y un Outlook.dll que de entrada McAfee salta indicando detectar un FAKE ALERT qiue pasaremos a controlar en la proxima version del ELISTARA de hoy



Del START HEART.EXE, vea si su original tiene 0 bytes, y en caso contrario repita su envio del mismo, gracias



saludos



ms, 2-8-2006



Nota: Debido al posteo de 2 log de HJT en un mismo tema nos ha liado al no ver el ultimo log nada relatiuvo de estas muestras ... Ello demuestra la importancia de hacer caso a nuestras indicaciones !!! ms

[msc hotline sat]

El analisis de VIRUSTOTAL sobre dicho fichero indica:


[quote]Este es el resultado completo de analizar el archivo "Outlook.dll" que VirusTotal ha recibido el día 02.08.2006 a las 09:43:53 (CET).



Antivirus Version Actualización Resultado

AntiVir 6.35.1.0 02.08.2006 TR/Dldr.Qworke.A.3

Authentium 4.93.8 02.08.2006 no ha encontrado virus

Avast 4.7.844.0 01.08.2006 Win32:Renos-H

AVG 386 01.08.2006 Generic.XCY

BitDefender 7.2 02.08.2006 Trojan.FakeAlert.CO

CAT-QuickHeal 8.00 31.07.2006 no ha encontrado virus

ClamAV devel-20060426 01.08.2006 Trojan.Fakealert-46

DrWeb 4.33 01.08.2006 Trojan.Fakealert

eTrust-InoculateIT 23.72.84 01.08.2006 Win32/Spax.180548!DLL!Trojan

eTrust-Vet 12.6.2319 01.08.2006 Win32/Spax!generic

Ewido 4.0 01.08.2006 Not-A-Virus.Hoax.Win32.Renos.dw

Fortinet 2.77.0.0 02.08.2006 FakeAlert.B!tr

F-Prot 3.16f 02.08.2006 no ha encontrado virus

F-Prot4 4.2.1.29 02.08.2006 no ha encontrado virus

Ikarus 0.2.65.0 02.08.2006 no ha encontrado virus

Kaspersky 4.0.2.24 02.08.2006 not-virus:Hoax.Win32.Renos.dw

McAfee 4819 01.08.2006 FakeAlert-B

Microsoft 1.1508 01.08.2006 no ha encontrado virus

NOD32v2 1.1687 01.08.2006 Win32/Hoax.Renos

Norman 5.90.23 01.08.2006 W32/Zlob.KVL

Panda 9.0.0.4 01.08.2006 Adware/SpywareQuake

Sophos 4.08.0 02.08.2006 Troj/FakeVir-T

Symantec 8.0 02.08.2006 no ha encontrado virus

TheHacker 5.9.8.185 02.08.2006 Aplicacion/Renos.dw

UNA 1.83 01.08.2006 Hoax.Win32.Renos

VBA32 3.11.0 01.08.2006 suspected of Downloader.Zlob.6 (paranoid heuristics)

VirusBuster 4.3.7:9 01.08.2006 Trojan.Renos.AH





Información adicional

Tamaño archivo: 178924 bytes

MD5: 4ad39709c847ba37da792a97f1a68030

SHA1: 94b44060c60697436dad5cb3f56d9eb3c0f56bb9


[/quote]

A la vista de las detecciones, se aprecia que se trata de uno de los adwares alarmando de falsas detecciones, que propone descargar en este caso el QUAKE, ya conocido y controlado.



Hoy con la 12.22 del ELISTARA se controlarán y eliminarán claves y ficheros de este malware.



saludos



ms, 2-8-2006

[msc hotline sat]

Acabamos de subir a esta web la version 12.22 del ELISTARA:





https://foros.zonavirus.com/nueva-version-de-elistara-1221-vt12812.html



Tras probarla, infromenos de los resultados, gracias



saludos



ms, 2-8-2006

[maing48]

ESTIMADO AMIGO, TE AGRADEZCO MUCHO POR LA AYUDA PRESTADA. BAJE EL PROGRAMA ELISTARA Y LO PASE EN LA PC Y AHORA YA NO ME SALE ESE FASTIDIOSO MENSAJE, MUCHAS GRACIAS......MANUEL

[msc hotline sat]

Pues lo celebramos, y solucionado el problema, procedemos a cerrar el Tema.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 3-8-2006