problemas kon un "virus"

[Khristopher]

primero ke nada kiero komenzar saludandolos koordialmente y decirles ke ustedes ya serian mi ultima opcion, resulta ke tengo un problema kon un virus troyano, spyware no se ke es ke me habre paginas en ie dependiendo el tipo de pagina ke habria y por ejemplo si estaba en la pagina de terra me kambiaba los flash y kolokaba avisos xxx, kosa ke molesta ya ke el pc esta a vista de todos y kreen ke soy pervertido, ademas habre las paginas ejemplo, si estoy en algo de videos habre una pagina de videos, si estoy en no se ke habre otra pag, ya estoy chato.



neceisto ke alguien ayude, kambie de explorador iba todo bien hasta ke pasa lo mismo kon firefox, y opera se vuelve lentisimo al igual ke la konexion a internet...



ah! las paginas ke habren son algo komo esto...



http://fp.gad-network.com/?id=50062&nums=N011WW68Z-FBW.OQzADg&login=5019787&mediaid_prefix=005&asked_billing_id=15&time=312e34312e31



diskulpen si escribi mucho pero es ke necesito ayudaaa

ademas nod32 y spybot no detectan





gracias

[msc hotline sat]

Efectivamente esta pagina está clasificada como peligrosa...



Posteenos su log del HJT y veremos si podemos ayudarle, pero recuerde que sobre forefos no damos soporte, asi que si ello le pasa con I.E. lo solucionaremos, pero si solo le psasra con firefox, no hacemos herramientas ni utilidades para dicho navegador atipico, solo para el standar, por el el mayoritario para todos los usuarios



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 6-03-2007

[Khristopher]

bueno segui los pasos komo me dijiste y bueno aki va...







Logfile of HijackThis v1.99.1

Scan saved at 17:43:31, on 07-03-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe

C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\Archivos de programa\Nokia\PC Suite for Nokia 3650\ConnMngmntBox.exe

C:\Archivos de programa\Nokia\PC Suite for Nokia 3650\ECTaskScheduler.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\ARCHIV~1\Nokia\PCSUIT~1\Elogerr.exe

C:\Archivos de programa\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe

C:\ARCHIV~1\Nokia\PCSUIT~1\BROADC~1.EXE

C:\WINDOWS\system32\slrundll.exe

C:\ARCHIV~1\Nokia\PCSUIT~1\SCRFS.exe

C:\Archivos de programa\Winamp\winamp.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar4.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\Epson\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [SsAAD.exe] C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [fwuqpgtj] c:\windows\system32\fwuqpgtj.exe fwuqpgtj

O4 - HKLM\..\Run: [thfvxjzmik] c:\windows\system32\thfvxjzmik.exe thfvxjzmik

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\ARCHIV~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\linewsrv.exe /run

O4 - Global Startup: BlueSoleil.lnk = C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: LUMIX Simple Viewer.lnk = ?

O4 - Global Startup: PCSuiteForNokia3650 Detect.lnk = C:\Archivos de programa\Nokia\PC Suite for Nokia 3650\ConnMngmntBox.exe

O4 - Global Startup: PCSuiteForNokia3650 TS.lnk = C:\Archivos de programa\Nokia\PC Suite for Nokia 3650\ECTaskScheduler.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{8F1964EC-E31C-4A4E-ADF2-903FA47FD94B}: NameServer = 200.28.4.129 200.28.4.130

O18 - Protocol: msnim - 0 - (no file)

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe

[Nuker]

Pasate ELISTARA en Modo Seguro, al terminar copias y pegas aqui el log que se creara en Unidad C, con nombre de infoSat.txt. Eso para el My Web Search que tienes.





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



MODO SEGURO:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



-------------------------



Y tienes estos 2 procesos extraños con un porcentaje alto de que sea malware, envia muestras siguiendo las rutas y al enviarlos elimina las claves en modo seguro.



Procesos:



O4 - HKLM\..\Run: [fwuqpgtj] c:\windows\system32\[b]fwuqpgtj.exe fwuqpgtj [/b]

O4 - HKLM\..\Run: [thfvxjzmik] c:\windows\system32\[b]thfvxjzmik.exe thfvxjzmik [/b]



Como Enviar ?:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Ahi mismo le recuerdan la eliminacion de claves.

[msc hotline sat]

y complementa lo indicado eliminando esta clave:



O18 - Protocol: msnim - 0 - (no file)



recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 8-03-2007

[msc hotline sat]

Recibidos tres ficheros, en uno hay una variante del VUNDO que implementaremos en el ELISTARA de hoy 13.49, pero los otros dos son navipromo y comhooh que ya controlamos con la version actual



Puede bajarla ahora y probarla para los dos indicados, o esperar a las 20 h GMT y descargar la nueva para todos



Baje tambien en la misma carpeta el ELINOTIF.DLL que le es necesario



Tras probar el ELISTARA, al reiniciar será lanzado automaticamente el ELINTOTIF que rematará el bicho.





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp





Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso