nose ni que le pasa...algun virus supongo (SOLUCIONADO)

[denzey]

weno, a ver por donde empiezo...soy nueva en este foro...y tengo un problemon...no se cual es el origen ni nada de mi problema, ni se si es un virus ni nada...El resultado es que mi pc de vez en cuando intenta conectarse a paginas un tanto raras...y luego lo mas gordo es que mi antivirus, el kaspersky personal me dejo de funcionar, me faltan todos los ficheros .exe, y por ejemplo el spybot que tb lo tenia, me paso lo mismo, el archivo .exe ya no me funciona...y por mucho que intente instalarlo de nuevo, me dice que la instalación ha sido satisfactoria pero me siguen faltando dixos ficheros...con lo cual no tengo antivirus para saber si tengo algun virus. El unico programa que me sirve es el ad-ware y no me reconoce nada. y luego, q casi se me olvia, hasta haceun par de dias me salia una especie de sms como que habia un problema con un generric process of windows o algo asi, en realidad creo q desde aki dejo de funcionarme todo lo demas...Pero no se muy bien que lei en internet de borrar una entrada del registro q ya no me sale el mensaje ese, pero el problema sigue ahi.asiq no se, pero necesito ayuda ya que no tengo antivirus !!!!!!!!! muchas gracias por adelantado :P

[msc hotline sat]

Pues empiece por lanzar un antivirus ONLINE y lanzar un wondowsupodate para actualizar los parches pendientes de instalar...





[url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]





Y nos comenta el resultado, gracias



saludos



ms, 26-9-2006

[denzey]

bueno, pues os cuento; he lanzado el antivirus online q me aconsejo pero no me detecto nada. y lance windows update pero no me instalo el parche del kaspersky, asiq si sabe alguna pagina doone pueda bajarmelo, y el del spybot aver si con eso se arregla, o si hay otra solucion...nose.GRacias por la rapidez!!!

saludo

[novatillo]

El windowsupdate es para actualizar los parches del SO no de los antivirus aparte prueba elistara despues de lanzarlo reinicias y posteas el contenido de C:/infosat.txt a ver que dice



ELISTARA

http://www.zonavirus.com/descargas/elistara.asp





Saludos.

[denzey]

bueno, pues aqui va :





unsaludo

[msc hotline sat]

Los logs no deben agregarse en un adjunto, sino postear su contenido con un copiar y pega, pues sino pierden su estructura



De todas formas este era corto y se entiende


[quote]
Tue Sep 26 21:02:12 2006 EliStartPage v12.40 (c)2006 S.G.H. / Satinfo S.L. -------------------------------------------------- Lista de Acciones (por Acción Directa): Eliminada Carpeta "%WinSys%\LogFiles" Eliminadas las Paginas de Inicio y de Busqueda del IE Eliminados Ficheros Temporales del IE Tue Sep 26 21:04:09 2006 EliStartPage v12.40 (c)2006 S.G.H. / Satinfo S.L. -------------------------------------------------- Lista de Acciones (por Exploración): C:\Archivos de programa\Samsung\PC Studio for SGH-Z500V\Sync ML Desktop Server\DEVICECUSTOMISATION.DLL --> Eliminado, ISTBar C:\Archivos de programa\Soulseek\SLSK156C.EXE --> AutoExtraible C:\Archivos de programa\Soulseek\UNINSTALL.EXE --> AutoExtraible C:\Archivos de programa\Webteh\BSPlayer\UNINSTALL.EXE --> AutoExtraible C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible
[/quote]





Aparte, cuando dice "no me instalo el parche del kaspersky" tenga en cuenta que no tiene nada que ver el windowsupate con las aplicaciones de los AV que pueda tener ...

[denzey]

Tue Sep 26 21:02:12 2006

EliStartPage v12.40 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Sep 26 21:04:09 2006

EliStartPage v12.40 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Samsung\PC Studio for SGH-Z500V\Sync ML Desktop Server\DEVICECUSTOMISATION.DLL --> Eliminado, ISTBar

C:\Archivos de programa\Soulseek\SLSK156C.EXE --> AutoExtraible

C:\Archivos de programa\Soulseek\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Webteh\BSPlayer\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible





aki tienen, hay alguna solucion para arreglar el problema??

[msc hotline sat]

El Elistara ha eliminado un Istbar que tenias.



Solo si tras reiniciar persiste el problema posteanos el log del HJT:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, infornaremos



saludos



ms, 27-9-2006

[denzey]

aqui esta:







Logfile of HijackThis v1.99.1

Scan saved at 15:26:20, on 27/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\WgaTray.exe

C:\Archivos de programa\Java\j2re1.4.2_11\bin\jusched.exe

C:\Archivos de programa\Multimedia Combo Set\MouseDrv.exe

C:\Archivos de programa\Multimedia Combo Set\PS2USBKbdDrv.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Macrogaming\SweetIM\SweetIM.exe

C:\WINDOWS\Mixer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Laura\Datos de programa\m\flec006.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hjt\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Archivos de programa\Macrogaming\SweetIMBarForIE\toolbar.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\ARCHIV~1\MACROG~1\SWEETI~1\toolbar.dll

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Archivos de programa\Macrogaming\SweetIMBarForIE\toolbar.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_11\bin\jusched.exe

O4 - HKLM\..\Run: [WireLessMouse ] C:\Archivos de programa\Multimedia Combo Set\MouseDrv.exe

O4 - HKLM\..\Run: [WireLessKeyboard ] C:\Archivos de programa\Multimedia Combo Set\PS2USBKbdDrv.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe

O4 - HKLM\..\Run: [SweetIM] C:\Archivos de programa\Macrogaming\SweetIM\SweetIM.exe

O4 - HKLM\..\Run: [CreativeMouse ] C:\Archivos de programa\Mouse Driver\MouseDrv.exe

O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\ARCHIV~1\INSTAL~1\{7F5E2~1\Setup.exe -rebootC:\ARCHIV~1\INSTAL~1\{7F5E2~1\reboot.ini -l0x40c

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SweetIM] C:\Archivos de programa\Macrogaming\SweetIM\SweetIM.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_11\bin\npjpi142_11.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_11\bin\npjpi142_11.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lauradenzey.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129827710718

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C6F71B9F-006D-48B8-967D-C5A8667A516F}: NameServer = 62.14.2.1 62.14.63.145

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe

O23 - Service: SQL Server VSS Writer (SQLWriter) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\90\Shared\sqlwriter.exe (file missing)

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe



gracias por vuestra atencion,un saludo

[msc hotline sat]

Esta clave es virica,:



O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe



pero muy rara si no viene acompañada de la que la crea, que es el gusano del RIZALOF o Backdoor CMQ...



RIZALOF ---BD.CMQ----smss.exe---ELITRIIP



Es como si se hubiera eliminado a medias este virus. Sabe si lo ha intentado ???



De todas formas, pruebe el ELITRIIP:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





SALUDOS



ms, 27-9-2006

[denzey]

Wed Sep 27 16:25:16 2006

EliTriIP v2.52 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado











bueno, aver me a dixo q a eliminado un gusano, q estaban infectados el archivo smss.exe y nvsvcd.exe o algo asi, y me ha creado una carpeta de muestras donde me a colocado los dos ficheros estos .exe, diciendome que se los mande a elitriip info a algo asi...no se si se acuerda de mi problema, le dije q al iniciiar el pc me decia algo parecido a que un generic process no funcionaba, bueno pues fue entonces entonces cuando en msconfig (ejecutar) quite esa entrada del inicio (smms.exe) por que la vi rara para que no se me iniciase con el pc, y desde entonces el pc no me volvio a mostrar ese mensaje...no se si por eso dice que esta como a medio borrar, eso es todo. el problema con el antivirus lo sigo teniendo, alo mejor deba volver a instalarlo ahora q he eliminado el virus?? muchas gracias

[msc hotline sat]

Es una nueva variante que hemos de analizar:



Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.52



Por favor, envienos una muestra del fichero

C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.52





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



Pero de momento ya está aparcado, solo falta implemenmtar las cadenas en la proxima version de la utilidad y volverla a lanzar cuando esté disponible, de lo cual informaremos en el foro. Pero envienos las muestras para ello, claro



saludos



ms, 27-9-2006

[denzey]

ya se lo mande. solo una pregunta, creen que el hecho de que no me funcione el antivrus puede ser debido a esto??

muchas gracias por todo y suerte... :?

saludos

[msc hotline sat]

Es una variante de la familia del Bakdoor CMQ, residente que puede alterar el funcionamiento del software de seguridad



Mañana lo analizaremos y en la proxima version del ELITRIIP 2.54 ya se controlara y eliminará



saludos



ms, 27-9-2006



nota_: De todas formas como que hoy hemos subido a esta web la 2.53, descargala y pruebala, que hemos incluido muchos nuevos...





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



ms.,

[denzey]

Thu Sep 28 01:14:47 2006

EliTriIP v2.53 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\foro\hjt\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.52 --> Eliminado, BackDoor.CMQ





ahi está...de todas formas, si formateo no se solucionaria mi problema?

saludos

[msc hotline sat]

Fijate que esta version ya ha eliminado la muestra de la anterior, pòr tanto ya la conoce por cadenas.



El virus ya esta eliminado.



Mira si tras reiniciar persiste algun problema y comentanoslo.



Y lo que dices de formatear, claro que elimina los problemas, a cambio de otro mas gordo que es perderlo todo...



Veamos como va ahora.



saludos



ms, 28-9-2006

[denzey]

siento star aki de nuevo :( pero el problema sigue, sigo sin poder instalar kaspersky ni el spybot & destroy...vaya lata q os estoy dando... :?

saludos

[msc hotline sat]

Pues habrá algo mas, o no se ha borrado todo lo malware indicado



Posteanos el log actualizado del HJT y lo analizaremos



saludos



ms, 28-09-2006

[denzey]

Logfile of HijackThis v1.99.1

Scan saved at 13:46:33, on 28/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\WgaTray.exe

C:\Archivos de programa\Java\j2re1.4.2_11\bin\jusched.exe

C:\Archivos de programa\Multimedia Combo Set\MouseDrv.exe

C:\Archivos de programa\Multimedia Combo Set\PS2USBKbdDrv.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\Mixer.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Macrogaming\SweetIM\SweetIM.exe

C:\Documents and Settings\Laura\Datos de programa\m\flec006.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\foro\hjt\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Archivos de programa\Macrogaming\SweetIMBarForIE\toolbar.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\ARCHIV~1\MACROG~1\SWEETI~1\toolbar.dll

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Archivos de programa\Macrogaming\SweetIMBarForIE\toolbar.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_11\bin\jusched.exe

O4 - HKLM\..\Run: [WireLessMouse ] C:\Archivos de programa\Multimedia Combo Set\MouseDrv.exe

O4 - HKLM\..\Run: [WireLessKeyboard ] C:\Archivos de programa\Multimedia Combo Set\PS2USBKbdDrv.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe

O4 - HKLM\..\Run: [SweetIM] C:\Archivos de programa\Macrogaming\SweetIM\SweetIM.exe

O4 - HKLM\..\Run: [CreativeMouse ] C:\Archivos de programa\Mouse Driver\MouseDrv.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SweetIM] C:\Archivos de programa\Macrogaming\SweetIM\SweetIM.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_11\bin\npjpi142_11.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_11\bin\npjpi142_11.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lauradenzey.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129827710718

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C6F71B9F-006D-48B8-967D-C5A8667A516F}: NameServer = 62.14.63.145 62.14.2.1

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe

O23 - Service: SQL Server VSS Writer (SQLWriter) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\90\Shared\sqlwriter.exe (file missing)

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

[msc hotline sat]

elimine estas dos claves:



O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)



O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)





y envienos muestra de este fichero, que si es lo que pensamos, lo tendremos resuelto:



C:\Documents and Settings\Laura\Datos de programa\m\flec006.exe









Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



saludos



ms, 28-9-2006



nota: si quiere, tras enviarnos el fichero renombrelo a .VIR para que al reiniciar ya no lo ponga en uso y vea el resultado



En caso que nos equivocaramos, volviendolo a renombrar se volvería a donde estamos, y si acertamos, aunque esté renombradp, la utilidad que hagamos para su eliminacion lo encontrará por exploracion, se llame como se llame, y además restaurará las claves de registro al respecto. ms.

[denzey]

el fichero ya esta mandado pero no se si ha funcionado bien ya que me dice que es peligroso o algo asi y que a lo mejor no lo podeis abrir...luego, ya le cambie la extension, solo me queda reiniciar aver que pasa... y luego me dice de borrar las claves, como lo hago, o donde??en el registro??porque si es el fichero no los he encontrado...gracias

saludos

[msc hotline sat]

Recibida la muestra del SMSS.EXE se trata de una nueva variante, aunque del NVSCD ya lo controlço por cadenas la version de ayer



Pues con la de hoy terminaremos de controlarlo totalmente, pruebala esta noche cxuando estñe disponible la v 2.54 del ELITRIIP



y nos informas, gracias



saludos



ms, 28-9-2006

[msc hotline sat]

Ya subidas a esta web las versiones de htm entre las que se encientra el ELITRIIP 2.54:



https://foros.zonavirus.com/nuevas-versiones-de-elistara-elinotif-y-elitriip-vt13758.html?highlight=



PRUEBALA E INFORMANOS, GRACIAS



saludos



ms, 28-9-2006

[denzey]

Thu Sep 28 18:44:54 2006

EliTriIP v2.54 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\foro\hjt\Muestras\SMSS.EXE.Muestra EliTriIP v2.52 --> Eliminado, BackDoor.CMQ (dropper)





aqui esta, por loq entiendo me ha eliminado el virus, pero he intentado instalar el antivrus tras reiniciar y me pasa lo mismo, que no encuentra los ficheros.exe :cry:

gracias

[msc hotline sat]

No tiene nada que ver con este virus



Pero si has ejecutado el ELITRIIP, señal de que `piedes ejecutar EXE's...



Si no fuera asi, bajate el ELISTARA actual y lo copias en la carpeta de sistema (C:\windows\system32 en XP) y luego arrancas en modo seguro con solo simnolo de sistema y ejecutas ELISTARA <enter>



Eso eliminará un gusano de FOTOS del MSN que interceptaba los EXE



Cuentanos el resultado, gracias



saludos



ms, 28-9-2006

[denzey]

te comento lo que he hecho, he bajado el programa, lo he metido en lacarpeta esa, y inicie en modo seguro con solo simbolo del sistema, pero es muy raro porque solo me sale una pantalla negra y unas letritas como si stuviese ejecutando algo, pero no es como el modo seguro normal, no me he podido meter en windows para ejecutar el programa, y no se si es normal porque es laprimera vez que hago esto....



gracias por vuestra paciencia

[msc hotline sat]

La muestra enviada es una variante nueva del BAGLE que pasaremos a controlar con la version del ELIBAGLA de hoy



Dado lo indicado, implementaremos tambien añl ELIBAGLA la eliminacion de restricciones de ejecucion de ejecutables, debiendo ejecutarse a priori arrancando en modo seguro con solo simbolo de sistema (desde DOS)



saludos



ms, 29-9-2006

[msc hotline sat]

Disponible la nueva version del ELIBAGLA para su muestra:



https://foros.zonavirus.com/aqui-vp68490.html#68490





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



informenos del resultado, gracias



saludos



ms, 29-9-2006

[denzey]

para ejecutar este programa como solo simbolo de sistema la coloco en lacarpeta system 32 no??gracias

[msc hotline sat]

Sí, ya que tienes problemas de ejeccucion de exes en windows...



Por ello le hemos añadido, ademas, la eliminacion de restr¡cciones



y nos cuentas el resultado, gracias



saludos



ms, 30-09-2006