Virus Trj/spammer.ACL

[Reach]

Hola amigos!



Antes q nada daros las gracias por vuestra atención.



Mi problema es el siguiente:

Llevo varias semanas con problemas con el ADSL, al principio pensaba q era la línea, cosas de la conexión, pero después de descartarlo una vez vinieron los técnicos de telefónica, me he puesto a investigar. Resulta q cada vez q paso el panda, me detecta el virus Trj/spammer.ACL, lo desinfecta y cuando vuelvo a pasarlo, o una vez reiniciado el ordenador, TACHÁN, ahí está de nuevo. La conexión parece q va a menos mil, por así decirlo, a veces hay línea y otras no, cuando paso el antivirus y reinicio, la cosa mejora, pero poco a poco, la cosa empieza a decaer, y cuando hay línea parece q va perdiendo fuerza por explicarme de alguna manera, y van cayendo poco a poco los programas q tengo conectados, tan pronto puedo abrir el explorer, como segundos después no hay forma de q abra nada, ahora me funciona el explorer, pero se desconecta el msn, ahora funciona el msn, pero no funciona el pando, ahora el emule va bien, pero no hay forma de abrir páginas web......... nunca funciona todo a la vez, y cuando no, no funciona nada. Me he cansado de pasar el panda, el ad-aware y el spybot, pero el famoso Trj/spammer sigue ahí. He mirado en la página de panda como quitarlo definitivamente, pero no me da resultado.

Si alguien tiene una solución, os lo agradecería enormemente, pq ya no se q hacerle, eso si, a poder ser me explicáis los pasos a seguir como a los nenes, para no liarme.



Mil gracias de antemano, un saludo:

Reach

[msc hotline sat]

De entrada prueba el ELISTARA :






[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]



saludos



ms, 25-06-2007

[Reach]

Gracias por vuestra pronta respuesta.



En este caso mi tardanza se debe a q lo quiera q le pase al ordenador, supongo q se ha puesto a la defensiva al enterarse de q trato de erradicarlo....bromas a parte, he pasado el Elistra, aunq ya lo había pasado días atrás al leer ese consejo en vuestro for. Hoy no ha detectado nada, pero pongo el resultado tanto del día de hoy, como del primer día q lo pasé.



El resultado de hoy:



Mon Jun 25 21:47:09 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jun 25 21:47:16 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



El resultado del domingo:





Sun Jun 24 10:06:41 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"



Sun Jun 24 11:33:58 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Jun 24 11:34:12 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar



Sun Jun 24 12:57:09 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Muchas gracias por vuestra colaboración.

Un saludo: Reach

[msc hotline sat]

Pues mira de enviarnos el fichero que Panda detecta como el troyano en cuestion:



"cada vez q paso el panda, me detecta el virus Trj/spammer.ACL"



Lo analizaremos e implementaremos su control y eliminacion en nuestras utilidades



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Aparte, para ver si hay algo mas que lo regenere, posteanos log del HJT:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 26-06-2007

[Reach]

Antes q nada disculpar el retraso en contestar a vuestra respuesta, pero es q durante absolutamente toda la semana pasada no había forma de q esto se conectara, ya q siempre ponia el repetitivo mensaje de “conexión limitada o nula”. Una vez resuelto ese asunto, persisten los mismos problemas de siempre q ya os he mencionado en este tema.



Les he mandado via mail el fichero q supuestamente me ocasiona los problemas, como así me pedisteis, si lo he hecho mal o cualquier cosa, díganmelo y trataré de volver a enviarlo.



Ahora les adjunto los datos q generó el HijackThis, como tb pedísteis:



Un saludo y gracias........Reach.



P.D.: si tardo en contestar, es producto de los problemas q esto me genera.





Logfile of HijackThis v1.99.1

Scan saved at 15:38:15, on 02/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AVENGINE.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\TPSrv.exe

C:\WINDOWS\Explorer.EXE

c:\archivos de programa\panda software\panda internet security 2007\firewall\PNMSRV.EXE

C:\WINDOWS\system32\spoolsv.exe

c:\archivos de programa\panda software\panda internet security 2007\WebProxy.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Mediafour\MACVNTFY.EXE

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE

C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

G:\Pando.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe

C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Logitech\Video\FxSvr2.exe

C:\Archivos de programa\WinAce\WinAce.exe

C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE

c:\archivos de programa\panda software\panda internet security 2007\WebProxy.exe

C:\Archivos de programa\Real\RealPlayer\RealPlay.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\Belen\CONFIG~1\Temp\~AceTemp\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cadenaser.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O5 "LPT1:" /M "Stylus C42"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MediafourGettingStartedWithMacDrive6] "C:\Archivos de programa\Mediafour\MacDrive\MacDrive.exe" /runonce

O4 - HKLM\..\Run: [Mediafour Mac Volume Notifications] "C:\Archivos de programa\Archivos comunes\Mediafour\MACVNTFY.EXE" /auto

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Archivos de programa\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe

O4 - HKLM\..\Run: [PCLEUSBTip] C:\Archivos de programa\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\Inicio.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\system32\E_S5D.tmp"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [Pando] "G:\Pando.exe" /Minimized

O4 - Startup: Herramienta de búsqueda de soportes de Cyber-shot Viewer.lnk = C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: MacDrive-iTunes compatibility - C:\Archivos de programa\Archivos comunes\Mediafour\MacDriveiTunesPatch.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\archivos de programa\panda software\panda internet security 2007\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\TPSrv.exe

[msc hotline sat]

Prueba el actual ELISTARA





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y si no te elimina este fichero y clave, envianos el fichero y elimina manualmente la clave, segun indicamos para ambas cosas:



O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 3-07-2007

[Reach]

He pasado el nuevo ELISTARA , pero no dio ningun resultado:



Sun Jun 03 14:16:51 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Sun Jun 03 14:17:30 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Ayer pasó nuevamente por casa el de teléfonica, y dijo q seguramente es un troyano, q hace q pocos minutos después de encender el ordenador ocupe toda la banda ancha y eso hace q no me pueda funcionar nada de lo referente a internet.

Así q hice lo segundo q me aconsejáis, pero por más q busqué, no encontré esto : O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe , una vez llegaba a "tem", luego dentro no encontraba lo otro, para poderoslo enviar, así q sin más en´ré en modo a prueba de fallos y lo eliminé manualmente como me aconsejábais, pero los problemas persisten de igual manera, y la evrdad, ya no se q más hacer. El chico de telefónica me aconsejó formatear, pero quiero econtrar otra solución antes de recurrir a eso como último remedio.



Nuevamente las gracias, un saludo, Reach.

[msc hotline sat]

Pues como que hay 8 versiones posteriores a la que utilizaste del ELISTARA, bajate la 14.34 y pruebala, cada día controlamos cosas nuevas...



y nos posteas el contenido de c:\infosat.txt , gracias



saludos



ms, 4-07-2007









NOTA: al ELISTARA 14.32 se le implementó control sobre STARTDRV.EXE, podría ser el de marras...



ELISTARA



---v14.32-( 2 de Julio del 2007) (Muestras de (5)Puper-Ies, FakeAlert "*****.DLL", Spy-Agent.BV "STARTDRV.EXE", (2)DownLoader.Alphabet.F "AVP.EXE y MGRS.EXE" y y Corrección de Falsa Deteccion "ADMINISTRADOR.EXE") ms.

[msc hotline sat]

Recibida muestra, se añade su control y eliminacion al ELISTARA 14.35 de hoy, que subiremos a esta web antes de las 16 H GMT



saludos



ms, 5-07-2007