BUENAS nesitaria una mano.. el tema es el siguiente..
Yo sentia muy lenta toda la maquina y con bajo rendimiento asi q decidimos ponerle el antivirus AVg Free Editions.. y resulta q al intalarlo me salta el siguiente mensaje -
Threat Detected!
Whili opening file: C:\winodws\system32\lgn1216.dll
Trojan horse PSW.Generic2.MCL
Y no me permite aplicar ningunas de las opciones q me ofrece ya q al hacer click se cierra y se abre rapidamente..
BUe ya le estpy haciendo un chequeo con ese cartel ( auque moleste) como hago para eliminar ese Trojano , y como pudo haber entrado..
mnuchas gracias
MAZZU!
C:\winodws\system32\lgn1216.dll
Pues envie ese fichero como muestra:
C:\windows\system32\[b]lgn1216.dll[/b]
Pienso que no es PSW sino PWS (PassWord Stealer). El mismo virus popular que se ha propagado por Msn, pero al parecer tiene una nueva variante. Envielo como ya le indique y al terminar el envio renombre la terminacion (.dll) del fichero por.vir debe quedar asi:
lgn1216[b].vir[/b]
Una vez hecho esto reinicie maquina y el "virus" quedara en Cuarentena, esto hasta que sea actualizada la utilidad.
Para renombrar, click derecho sobre fichero, renombrar, y borra la terminacion, .dll en este caso.
Envio de Muestras:
https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
-----------------------
Y seria bueno que nos posteara un log de HijackThis en Modo Normal para observar sus procesos y eliminar la clave "Run" del mismo virus.
Abre, le da en "scan and save log file" copia contenido del bloc y lo pega aqui.
HijackThis:
http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp
------------------------
Una vez recibida la muestra informaran... Saludos.
C:\windows\system32\
Pienso que no es PSW sino PWS (PassWord Stealer). El mismo virus popular que se ha propagado por Msn, pero al parecer tiene una nueva variante. Envielo como ya le indique y al terminar el envio renombre la terminacion (.dll) del fichero por.vir debe quedar asi:
lgn1216
Una vez hecho esto reinicie maquina y el "virus" quedara en Cuarentena, esto hasta que sea actualizada la utilidad.
Para renombrar, click derecho sobre fichero, renombrar, y borra la terminacion, .dll en este caso.
Envio de Muestras:
-----------------------
Y seria bueno que nos posteara un log de HijackThis en Modo Normal para observar sus procesos y eliminar la clave "Run" del mismo virus.
Abre, le da en "scan and save log file" copia contenido del bloc y lo pega aqui.
HijackThis:
------------------------
Una vez recibida la muestra informaran... Saludos.
[DJ eXploit]
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
A la espera de recibir el fichero muestra para analizar, y que postee el log del HJT, me he reido un poco al buscar referencias de PSW / PWS, que indistintamente usan los antivirus para identificar lo mismo : PWS PWSteal = PSW
ejemplos de alias para los mismos virus:
Mcafee: PWS-Gamania • Kaspersky: Trojan-PSW.Win32.Hangame
Trojan-PSW.Win32.Lmir.azv (Kaspersky); Trojan.PWS.Legmir.531 (Doctor Web);
Symantec: Trojan.PWS.QQPass • Kaspersky: Trojan-PSW.Win32.QQRob
Pues me he reido al ver que las siglas, en otros ambientes, significan otra cosa:
PSW = "trabajadoras que ofrecen servicios personales" (quizas de Personal Services Work ?)
Que con todo respeto para ellas, especialmente para las que vemos cada día pelándose de frío en la cuneta de la carretera, al anochecer, con falda blanca de un palmo y tiritando de frío, lo cual es muy lamentable, pero poco podemos hacer desde aqui, mas que desearles solucionen pronto su situacion... , pues las siglas o abreviacion de PWS, que he encontrado en otros sitios como :
PWS: Personal Web Server
PWS: Port Wine Stain
PWS: Peer Web Services
o PSW son indistintamente usadas por los antivirus para un mismo virus, e incluso para un mismo antivirus segun el virus que sea, lo cual
ejemplos de alias para los mismos virus:
Mcafee: PWS-Gamania • Kaspersky: Trojan-PSW.Win32.Hangame
Trojan-PSW.Win32.Lmir.azv (Kaspersky); Trojan.PWS.Legmir.531 (Doctor Web);
Symantec: Trojan.PWS.QQPass • Kaspersky: Trojan-PSW.Win32.QQRob
Pues me he reido al ver que las siglas, en otros ambientes, significan otra cosa:
PSW = "trabajadoras que ofrecen servicios personales" (quizas de Personal Services Work ?)
Que con todo respeto para ellas, especialmente para las que vemos cada día pelándose de frío en la cuneta de la carretera, al anochecer, con falda blanca de un palmo y tiritando de frío, lo cual es muy lamentable, pero poco podemos hacer desde aqui, mas que desearles solucionen pronto su situacion... , pues las siglas o abreviacion de PWS, que he encontrado en otros sitios como :
PWS: Personal Web Server
PWS: Port Wine Stain
PWS: Peer Web Services
o PSW son indistintamente usadas por los antivirus para un mismo virus, e incluso para un mismo antivirus segun el virus que sea, lo cual
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
A la espera de recibir el fichero muestra para analizar, y que postee el log del HJT, me he reido un poco al buscar referencias de PSW / PWS, que indistintamente usan los antivirus para identificar lo mismo : PWS PWSteal = PSW
ejemplos de alias para los mismos virus:
Mcafee: PWS-Gamania • Kaspersky: Trojan-PSW.Win32.Hangame
Trojan-PSW.Win32.Lmir.azv (Kaspersky); Trojan.PWS.Legmir.531 (Doctor Web);
Symantec: Trojan.PWS.QQPass • Kaspersky: Trojan-PSW.Win32.QQRob
Pues me he reido al ver que las siglas, en otros ambientes, significan otra cosa:
PSW = "trabajadoras que ofrecen servicios personales" (quizas de Personal Services Work ?)
Que con todo respeto para ellas, especialmente para las que vemos cada día pelándose de frío en la cuneta de la carretera, al anochecer, con falda blanca de un palmo y tiritando de frío, lo cual es muy lamentable, pero poco podemos hacer desde aqui, mas que desearles solucionen pronto su situacion... , pues las siglas o abreviacion de PWS, que he encontrado en otros sitios como :
PWS: Personal Web Server
PWS: Port Wine Stain
PWS: Peer Web Services
o PSW son indistintamente usadas por los antivirus para un mismo virus, e incluso para un mismo antivirus segun el virus que sea, lo cual McAfee mismo usa indistintamente segun sea el troyano:
PWS-QQDrag McAfee
Trojan-PSW.Win32.VB.ji McAfee
y cuando llegue a la empresa, analizaré con VIRUS TOTAL alguno de estos PSW/PWS para que veais que se usa indistintamente.
Solo a tutulo de comentario:wink:
saludos
ms, 28-03-2007
ejemplos de alias para los mismos virus:
Mcafee: PWS-Gamania • Kaspersky: Trojan-PSW.Win32.Hangame
Trojan-PSW.Win32.Lmir.azv (Kaspersky); Trojan.PWS.Legmir.531 (Doctor Web);
Symantec: Trojan.PWS.QQPass • Kaspersky: Trojan-PSW.Win32.QQRob
Pues me he reido al ver que las siglas, en otros ambientes, significan otra cosa:
PSW = "trabajadoras que ofrecen servicios personales" (quizas de Personal Services Work ?)
Que con todo respeto para ellas, especialmente para las que vemos cada día pelándose de frío en la cuneta de la carretera, al anochecer, con falda blanca de un palmo y tiritando de frío, lo cual es muy lamentable, pero poco podemos hacer desde aqui, mas que desearles solucionen pronto su situacion... , pues las siglas o abreviacion de PWS, que he encontrado en otros sitios como :
PWS: Personal Web Server
PWS: Port Wine Stain
PWS: Peer Web Services
o PSW son indistintamente usadas por los antivirus para un mismo virus, e incluso para un mismo antivirus segun el virus que sea, lo cual McAfee mismo usa indistintamente segun sea el troyano:
PWS-QQDrag McAfee
Trojan-PSW.Win32.VB.ji McAfee
y cuando llegue a la empresa, analizaré con VIRUS TOTAL alguno de estos PSW/PWS para que veais que se usa indistintamente.
Solo a tutulo de comentario
saludos
ms, 28-03-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
MMMmm!
Hola la verdad q miles garcias pero no entendido nada de lo q debo hacer ya q mi conocimiento sobre PC es escaso!
asi pido por favor q si me pueden las indicaciones paso por paso asi entiendo mas claro..
Muchas Gracias por su ayuda..
MaZzU-.:lol:
asi pido por favor q si me pueden las indicaciones paso por paso asi entiendo mas claro..
Muchas Gracias por su ayuda..
MaZzU-.
BUE esto lo q me parecio q tenia q hacer! espero q este bien !
MaZzU:)
Logfile of HijackThis v1.99.1
Scan saved at 20:06:04, on 28/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\AnDrEs\Escritorio\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =https://loginnet.passport.com/ppsecure/md5auth.srf?lc=1033
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Barra de herramientas antifraude de Trend Micro - {06647158-359E-4D10-A8DE-E6145DA90BE9} - C:\ARCHIV~1\TRENDM~1\INTERN~1\PccIeBar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Barra de herramientas antifraude de Trend Micro - {871F91FD-3A92-4988-A842-16AB2CFF5AF1} - C:\ARCHIV~1\TRENDM~1\INTERN~1\PccIeBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Ad-watch] C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RegsFaceStopOkay] C:\Documents and Settings\All Users\Datos de programa\16 1 regs face\64Anti.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Archivos de programa\Save\Save.exe"
O4 - HKCU\..\Run: [BitDownload] "C:\Archivos de programa\BitDownload\BitDownload.exe" /minimized
O4 - HKCU\..\Run: [manager find] C:\DOCUME~1\AnDrEs\DATOSD~1\TONSWI~1\bend online plan.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/229?307ee1d96300487eb229b213ef39e537
O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/230?307ee1d96300487eb229b213ef39e537
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {3A7FE611-1994-4EF1-A09F-99456752289D} -http://install.wildtangent.com/ActiveLauncher/ActiveLauncher.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -http://vickytoria06.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) -http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) -http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{28797ED1-E40F-478D-9940-CB46897E17F8}: NameServer = 200.42.0.108,200.42.0.109
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~3\GOEC62~1.DLL
O20 - Winlogon Notify: lgn1216a - lgn1216a.dll (file missing)
O20 - Winlogon Notify: mi5035a0 - C:\WINDOWS\SYSTEM32\mi5035a0.dll
O20 - Winlogon Notify: pasksa - pasksa.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe (file missing)
MaZzU
Logfile of HijackThis v1.99.1
Scan saved at 20:06:04, on 28/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\AnDrEs\Escritorio\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Barra de herramientas antifraude de Trend Micro - {06647158-359E-4D10-A8DE-E6145DA90BE9} - C:\ARCHIV~1\TRENDM~1\INTERN~1\PccIeBar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Barra de herramientas antifraude de Trend Micro - {871F91FD-3A92-4988-A842-16AB2CFF5AF1} - C:\ARCHIV~1\TRENDM~1\INTERN~1\PccIeBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Ad-watch] C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RegsFaceStopOkay] C:\Documents and Settings\All Users\Datos de programa\16 1 regs face\64Anti.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Archivos de programa\Save\Save.exe"
O4 - HKCU\..\Run: [BitDownload] "C:\Archivos de programa\BitDownload\BitDownload.exe" /minimized
O4 - HKCU\..\Run: [manager find] C:\DOCUME~1\AnDrEs\DATOSD~1\TONSWI~1\bend online plan.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/229?307ee1d96300487eb229b213ef39e537
O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/230?307ee1d96300487eb229b213ef39e537
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -
O16 - DPF: {3A7FE611-1994-4EF1-A09F-99456752289D} -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{28797ED1-E40F-478D-9940-CB46897E17F8}: NameServer = 200.42.0.108,200.42.0.109
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~3\GOEC62~1.DLL
O20 - Winlogon Notify: lgn1216a - lgn1216a.dll (file missing)
O20 - Winlogon Notify: mi5035a0 - C:\WINDOWS\SYSTEM32\mi5035a0.dll
O20 - Winlogon Notify: pasksa - pasksa.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe (file missing)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Tiene instalados AVG y NOD32 y TREND. Solo debe haber uno, desinstale los otros dos ! Sino, aparte de ralentizar, pueden colisionar entre ellos.
Estos ficheros son sospechosos, envienos muestra para analizar:
C:\Documents and Settings\All Users\Datos de programa\16 1 regs face\64Anti.exe
C:\WINDOWS\SYSTEM32\mi5035a0.dll
y ya puedes eliminar esta clave:
O4 - HKCU\..\Run: [WhenUSave] "C:\Archivos de programa\Save\Save.exe"
que seria de un troyano que se eliminó a medias (se borró el fichero pero se olvidó la clave)
y estas dos claves, si no conoces haber instalado sus aplicaciones, o haberlas ya borrado, eliminalas tambien:
O4 - HKCU\..\Run: [BitDownload] "C:\Archivos de programa\BitDownload\BitDownload.exe" /minimized
O4 - HKCU\..\Run: [manager find] C:\DOCUME~1\AnDrEs\DATOSD~1\TONSWI~1\bend online plan.exe
y estas otras, eliminalas que son malware o restos de ellos:
O16 - DPF: {3A7FE611-1994-4EF1-A09F-99456752289D} -http://install.wildtangent.com/ActiveLauncher/ActiveLauncher.cab
O20 - Winlogon Notify: lgn1216a - lgn1216a.dll (file missing)
O20 - Winlogon Notify: pasksa - pasksa.dll (file missing)
y tras recibir las muestras, informaremos
saludos
ms, 29-03-2007
Estos ficheros son sospechosos, envienos muestra para analizar:
C:\Documents and Settings\All Users\Datos de programa\16 1 regs face\64Anti.exe
C:\WINDOWS\SYSTEM32\mi5035a0.dll
y ya puedes eliminar esta clave:
O4 - HKCU\..\Run: [WhenUSave] "C:\Archivos de programa\Save\Save.exe"
que seria de un troyano que se eliminó a medias (se borró el fichero pero se olvidó la clave)
y estas dos claves, si no conoces haber instalado sus aplicaciones, o haberlas ya borrado, eliminalas tambien:
O4 - HKCU\..\Run: [BitDownload] "C:\Archivos de programa\BitDownload\BitDownload.exe" /minimized
O4 - HKCU\..\Run: [manager find] C:\DOCUME~1\AnDrEs\DATOSD~1\TONSWI~1\bend online plan.exe
y estas otras, eliminalas que son malware o restos de ellos:
O16 - DPF: {3A7FE611-1994-4EF1-A09F-99456752289D} -
O20 - Winlogon Notify: lgn1216a - lgn1216a.dll (file missing)
O20 - Winlogon Notify: pasksa - pasksa.dll (file missing)
y tras recibir las muestras, informaremos
saludos
ms, 29-03-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Ademas de lo indicado, lanza el ELISTARA, pues parece que puedes tener Rootkits del Haxdoor:
http://www.bleepingcomputer.com/startups/mi5035a0-16793.html
por ello te hemos pedido una de las muestras, pero como que los rootkits ocultan procesos, ficheros y claves, y no veamos en el log del HJT todo lo malicioso que haya, veamos lo que nos encuentra:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 29-03-2007
por ello te hemos pedido una de las muestras, pero como que los rootkits ocultan procesos, ficheros y claves, y no veamos en el log del HJT todo lo malicioso que haya, veamos lo que nos encuentra:
ELISTARA:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 29-03-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online