posible virus

ruberto · Mensaje por **ruberto** » 01 Ene 2007, 22:16

Logfile of HijackThis v1.99.1

Scan saved at 21:16:19, on 01/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\Razer\razerhid.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Xfire\xfire.exe

C:\WINDOWS\system\CmSNXeye.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\Razer\razertra.exe

C:\Archivos de programa\Razer\razerofa.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\patcher.exe

C:\Archivos de programa\patcher.exe

C:\Archivos de programa\patcher.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Teamspeak2_RC2\TeamSpeak.exe

C:\Archivos de programa\patcher.exe

C:\Archivos de programa\patcher.exe

C:\Documents and Settings\robeert\Escritorio\YASU.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\RealVNC\VNC4\winvnc4.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\patcher.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

F:\DESCARGAS DIRECTAS\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [razer] C:\Archivos de programa\Razer\razerhid.exe

O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Tom Clancy's Rainbow Six Vegas

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Xfire.lnk = C:\Archivos de programa\Xfire\xfire.exe

O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Mensaje por **msc hotline sat** » 02 Ene 2007, 08:25

Envianos estos ficheros para analizar:

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\patcher.exe

C:\Documents and Settings\robeert\Escritorio\YASU.exe

cmcnfgu.cpl

Tom Clancy's Rainbow Six Vegas (???)

eliminar:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

recordar: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

saludos

ms, 2-01-2007

ruberto · Mensaje por **ruberto** » 02 Ene 2007, 13:10

bueno feliz año antes de na.si me podrias explicar como os mando eso q me decis por q no lo tengo muy claro como hacerlo no tengo muxa idea de ordenadores,si bien se utilizar el hijacktis es por q me he leido este foro bastante.rainbow six las vegas?hay algo raro msc hotline.sobre el patcher el nod32 me detecto un virus pero la verdad no lo encuntro en archivos de programa tengo el icono en el escritorio pero no me deja eliminarlo me pone q (no se puede eliminar patcher:se ha denegado el aceso.compreube q el disco no esta lleno ni protegido contra escritura y q el archivo no este actualmente en uso)ese mensaje me pone

Mensaje por **msc hotline sat** » 02 Ene 2007, 13:18

Se te indica al final de la respuesta:

recordar: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

Cuando los recibamos los analizaremos y veremos lo que son

sakudos

ms, 2-01-2007

saludos

ruberto · Mensaje por **ruberto** » 04 Ene 2007, 17:59

Logfile of HijackThis v1.99.1

Scan saved at 17:02:02, on 04/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\Razer\razerhid.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Razer\razerofa.exe

C:\WINDOWS\system\CmSNXeye.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Razer\razertra.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

F:\DESCARGAS DIRECTAS\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [razer] C:\Archivos de programa\Razer\razerhid.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Tom Clancy's Rainbow Six Vegas

O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Xfire.lnk = C:\Archivos de programa\Xfire\xfire.exe

O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

aki os dejo despues de aliminar eso q me dijisteis lo q no se hacer es mandaros lo q me pedisteis lo he intentado pero no se lo siento si me podeis indicar un poco mejor lo agradeceria muxas gracias

Mensaje por **msc hotline sat** » 04 Ene 2007, 18:09

Pues como lo hace todo el mundo, anexe el/los fichero que ha de enviar a un mail y envienoslo indicando como referencia su niocj en este foro, y esto es todo !

Tan pronto como lo recibamos, seguiremos

saludos

ms, 4-01-2007

Mensaje por **msc hotline sat** » 04 Ene 2007, 19:16

No hemos recibido el principal de los ficheros que te pedimos, ya que lo tienes cinco veces lanzando:

C:\Archivos de programa\patcher.exe

Si sabes lo que es., dinoslo, y en cualquier caso envianoslo !!!

Aparte el YASU.EXE es muy sospechoso, pero no está identificado. Dinos ta,bien si sabes lo que es. si es que lo sabes, gracias

saludos

ms, 4-01-2007

ruberto · Mensaje por **ruberto** » 04 Ene 2007, 21:26

El patcher he conseguido elininarlo contenia virus,el yasu es un securon para arrancar juegos,si no lo he hexo mal os he mandado los archivos por correo ya me direis si estan o no para probar a mandarlos otra vez.un saludo muxas gracias

Mensaje por **msc hotline sat** » 11 Ene 2007, 19:28

Pues no sé donde los enviaste porque no consta haberlos recibido...

recuerda: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

Si todavia lo tienes guardado, repite el envio para poder controlarlo con nuestras utilidades, gracias

saludos

ms, 11-01-2007