virus q manda mails???

pacosr1979 · Mensaje por **pacosr1979** » 09 Feb 2007, 16:23

Hola, hace unos dias que el mcafee me dice q hay "potential worm activity" y que se han enviado 5 mails en los ultimos 30 segundos. cuando le doy a seguir, el macafee me muestran unso cuantos mails q estan siendo enviados, a direcciones yahoo q yo ni conozco....los mails parecen como de publicidad. Sabeis algo??

Gracias!![/list]

Mensaje por **msc hotline sat** » 09 Feb 2007, 16:34

Prueba el ELIBAGLA, pues estamos avisando de que ya estamos controlando 4 diferentes variantes de este:

https://foros.zonavirus.com/nueva-gama-de-bagles-que-aun-no-controlan-muchos-antivirus-vt16417.html

ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

y sino, prueba el ELISTRAT, pues el STRATION, otro que tal:

ELISTRAT

http://www.zonavirus.com/datos/descargas/263/elistratexe.asp

y nos comentas el resultado, gracias:

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 9.02.2007

pacosr1979 · Mensaje por **pacosr1979** » 10 Feb 2007, 05:43

Hoal de nuevo y gracias. He pasado los dos (elibagla y elistrat) y el resultado en ambas exploraciones ha sido el mismo: ningun archivo infectado, ningun archivo eliminado. Persisten los mensajes de mcafee..., esta es la lectura del info: Es extraño pues no deja ninguna info importante...

Fri Feb 09 19:08:51 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Fri Feb 09 19:09:00 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Feb 10 04:42:03 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Sat Feb 10 04:42:04 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 10 Feb 2007, 12:19

Pues solo hay 250.000 mas :lol: , aparte de nuevos desconocidos de cada día...

Posteanos el log del HJT y veremos lo que tienes en este ordenador:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 10-02-2007

pacosr1979 · Mensaje por **pacosr1979** » 10 Feb 2007, 14:03

pues ahi va:

Logfile of HijackThis v1.99.1

Scan saved at 13:07:27, on 10/02/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\WMonitor\WLService.exe

C:\Archivos de programa\WMonitor\WLanCfgG.exe

c:\archiv~1\mcafee\mcafee antispyware\massrv.exe

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

c:\ARCHIV~1\mcafee.com\vso\OasClnt.exe

c:\archivos de programa\mcafee.com\vso\mcvsshld.exe

C:\ARCHIV~1\McAfee.com\Agent\mcregwiz.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\archiv~1\mcafee\MCAFEE~1\masalert.exe

C:\Archivos de programa\WMonitor\InfoMyCa.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\nvraidservice.exe

c:\archivos de programa\mcafee.com\agent\mcagent.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe

C:\WINDOWS\s1d8.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\WINDOWS\System32\RunDLL32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\eMule\emule.exe

C:\Program Files\AVERTV2K\QuickTV.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\System32\wbem\unsecapp.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

c:\archivos de programa\mcafee.com\shared\mghtml.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\hijac\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [McRegWiz] C:\ARCHIV~1\McAfee.com\Agent\mcregwiz.exe /autorun

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [_AntiSpyware] c:\archiv~1\mcafee\MCAFEE~1\masalert.exe

O4 - HKLM\..\Run: [Getca] C:\Archivos de programa\WMonitor\InfoMyCa.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\s1d8.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: QuickTV.lnk = C:\Program Files\AVERTV2K\QuickTV.exe

O4 - Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://luthier1979.spaces.live.com//PhotoUpload/MsnPUpld.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: 54Mbps Wireless Network Service (54Mbps Wireless Network) - Unknown owner - C:\Archivos de programa\WMonitor\WLService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: McAfee AntiSpyware Service - McAfee, Inc. - c:\archiv~1\mcafee\mcafee antispyware\massrv.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Mensaje por **msc hotline sat** » 10 Feb 2007, 14:30

Empecemos que le faltan todos los parches del SP2 y posteriores !!! Asi le entraran todos los gusanos que quioeran, a pesar del antivirus.

Lance un windowsupdate y actualicelos !!!

Envienos estos ficheros sospechosos, para analizar:

c:\windows\s1d8.exe

parece que no hay mas, pues aparte de enviarnoslo, prueba de renombrarlo a .VIR para ponerlo fuera de circulacion en el proximo reinicio. mientras te contestamos con el resultado del analisis

recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 10-02-2007

pacosr1979 · Mensaje por **pacosr1979** » 11 Feb 2007, 21:03

He renombrado el archivo y os he enviado una muestra. El problema por ahora no ha vuelto, pero no he podido poner el sp2 pq el pc se cuelga buscando actualizaciones en windows update. podeis mandarme un link directo a la descarga del sp2??

gracias otra vez a todos...

Nuker · Mensaje por **Nuker** » 11 Feb 2007, 21:06

Aqui tienes:

SP2:

http://www.microsoft.com/en/us/default.aspxdownloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=es

Saludos

Mensaje por **msc hotline sat** » 12 Feb 2007, 08:01

Pues analizaremos la muestra e informaremos, pero de momento renombranmdo el fichero ya no se pone en marcha al reiniciar, y provisionalmente te deja tranquilo !

Y sobre el SP2, sí, pero esto solo es una parte de lo que te falta... luego quedan los del 2006 y 2007 !!! y eso lo podrás hacer con un windowsupdate

saludos

ms, 12-02-2007

Mensaje por **msc hotline sat** » 12 Feb 2007, 08:05

Pues analizaremos la muestra e informaremos, pero de momento renombranmdo el fichero ya no se pone en marcha al reiniciar, y provisionalmente te deja tranquilo !

Y sobre el SP2, sí, pero esto solo es una parte de lo que te falta... luego quedan los del 2006 y 2007 !!! y eso lo podrás hacer con un windowsupdate

saludos

ms, 12-02-2007

nota: y se quedó en el portapapeles el link de la utilidad de symantec para desinstalar el Norton:

http://ask.softonic.com/ie/43087/Norton_Removal_Tool__SymNRT_