Va lenta,se apaga mas o menos cada media hora
Va lenta,se apaga mas o menos cada media hora
:Hola,tengo un problema mi computador se apaga cada media hora pero cuando esta conectado a internet y va lenta ya e bajado muchos antivirus como el vast, nod32 y sin espias pero encuentran algunos y los eliminan pero hay unos que no se que pasa con ellos y hacen a la computadora muchisomas lenta y es una portatil :( me pueden sugerir algun antivirus o algo parecido :?: pofavor
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pero si se apaga ... aparte de virus puedes tener problema de temperatura.
Mira lo que indicamos al final de este Tema y nos dices la temperatura de la CPU:
https://foros.zonavirus.com/viewtopic.php?f=5&t=11159
saludos
ms, 14-09-2007
Mira lo que indicamos al final de este Tema y nos dices la temperatura de la CPU:
saludos
ms, 14-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Gracias :) por responder pero puse el antivirus ewido y encontro 61 virus pero :oops: se me habia olvidado decir q cuando se esta iniciando la computadora se abre dos veces mis docuumentos y sigue saliendo
Última edición por ayanokogi el 19 Sep 2007, 16:53, editado 1 vez en total.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues dinos que fichero encuentra a faltar, y posteanos el log del HJT y te indicaremos lo que has de eliminar, si es el caso:
[b]
[color=yellow]HJT : (HiJackThis)[/color] [/b]
[i]¿Como utilizar el Hijackthis ?[/i]
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b] [/url]
Tras analizarlo, informaremos
saludos
ms, 17-09-2007
[i]¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·
Tras analizarlo, informaremos
saludos
ms, 17-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Ya descarge el hijack this y aquie va el hijack y porfavor yo no se casi nada de computadoras asi que me podrian explicar bien
cada cosa y despues de poner a escanear el ewido ya no aparece que falta un archivo pero si sighue abriendose dos veces mis documentos.Y muchas gracias por estar ayudandome.
Logfile of HijackThis v1.99.1
Scan saved at 08:59:58 a.m., on 19/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Apoint2K\Apoint.exe
C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe
C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\vsnpstd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\algsrvs.exe
C:\Archivos de programa\Apoint2K\Apntex.exe
C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
O1 - Hosts: "http://www.w3.org/TR/html4/loose.dtd ">
O1 - Hosts: <html>
O1 - Hosts: <head>
O1 - Hosts: <script LANGUAGE="JavaScript">
O1 - Hosts: <!--
O1 - Hosts: if (window != top)
O1 - Hosts: top.location.href = location.href;
O1 - Hosts: // -->
O1 - Hosts: </script>
O1 - Hosts: <title>Site Unavailable</title>
O1 - Hosts: <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
O1 - Hosts: <style type="text/css">
O1 - Hosts: body{text-align:center;}
O1 - Hosts: .geohead {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;width:750px;margin:10px 0 10px 0;height:35px;}
O1 - Hosts: .geohead #geologo {width:270px;display:block; float:left; }
O1 - Hosts: .geohead #rightside {width:480px;display:block; float:right;border-bottom:1px solid #999999; height:27px;}
O1 - Hosts: .geohead #rightside #welcome {width:50%;display:block; float:left; text-align:left;}
O1 - Hosts: .geohead #rightside #wlinks {width:50%;display:block; float:right; text-align:right;}
O1 - Hosts: .ftr { margin:0px; color:#404040; font:x-small Arial,sans-serif; text-align:center; width:750px;}
O1 - Hosts: .bodywrap{display:block;height:470px;}
O1 - Hosts: .bodycnt{width:510px; display:block; float:left; background-color:#EEE9F5; height:auto; text-align:left; font-family:Arial, Helvetica, sans-serif;font-size:13px; color:#000000; padding:20px 20px 35px 20px;}
O1 - Hosts: .title { font-family:Arial, Helvetica, sans-serif; font-weight:bold; font-size:24px; color:#7C56A9}
O1 - Hosts: .adcnt{width:172px; display:block; float:right; text-align:left;cursor:pointer;cursor:hand;}
O1 - Hosts: .adcnt td {text-align:left;}
O1 - Hosts: .adsubt{font-size:10px; font-family:verdana; font-weight:bold; color:#b4b4b4; cursor:default;margin-top:5px;}
O1 - Hosts: .ybadge { font-family: Verdana, Arial, Helvetica, sans-serif; font-size:10px; color: #666666; margin-top:10px;}
O1 - Hosts: .ybadge img {margin-top:6px;}
O1 - Hosts: .adtable {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;border: 1px solid #d6dbe7; background-color:#eff7ff; padding:3px; margin-bottom:10px; width:172px;}
O1 - Hosts: .adttl{font-weight:bold;margin-bottom:3px;}
O1 - Hosts: .addescr{color:#6b6b6b; margin-bottom:3px;}
O1 - Hosts: .adlink a {color:#008200; text-decoration:none;}
O1 - Hosts: </style>
O1 - Hosts: </head>
O1 - Hosts: <body>
O1 - Hosts: <!-- following code added by server. PLEASE REMOVE -->
O1 - Hosts: <!-- preceding code added by server. PLEASE REMOVE -->
O1 - Hosts: <div id="maincnt">
O1 - Hosts: <div class="geohead"><div id="geologo"><a href="http://geocities.yahoo.com"><img height=33 alt="Yahoo! GeoCities" src="http://us.i1.yimg.com/us.yimg.com/i/us/nt/ma/ma_geo_1.gif
O1 - Hosts: <div id="rightside"><div id="wlinks"><a href="http://geocities.yahoo.com">GeoCities Home</a> - <a href="http://www.yahoo.com">Yahoo!</a> - <a href="http://help.yahoo.com/help/us/geo/">Help</a></div >
O1 - Hosts: </div></div>
O1 - Hosts: <div class="bodywrap">
O1 - Hosts: <div class="bodycnt">
O1 - Hosts: <div class="title">Sorry, this GeoCities site is currently unavailable.</div>
O1 - Hosts: <p>The GeoCities web site you were trying to view has temporarily exceeded its data transfer limit. Please try again later. </p>
O1 - Hosts: <p>Are you the site owner?
O1 - Hosts: Avoid service interruptions in the future by increasing your data transfer limit!
O1 - Hosts: <a href="http://help.yahoo.com/help/us/geo/transfer/transfer-05.html
O1 - Hosts: <p><a href="http://help.yahoo.com/help/us/geo/transfer/ " target="_blank">Learn more about data transfer.</a></p>
O1 - Hosts: </div>
O1 - Hosts: <div class="adcnt">
O1 - Hosts: <a target="_top" href="http://geocities.yahoo.com"><img src="http://us.i1.yimg.com/us.yimg.com/i/us/smbiz/b/geo_mast_small2.gif
O1 - Hosts: <div class="adsubt">SPONSORED LINKS</div>
O1 - Hosts: <!--<table width="172" border="0" bgcolor="#FFFFFF" class="adtable"><tr><td align=left>-->
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27166/*http://smallbusiness.yahoo.com/webhosting
O1 - Hosts: $25 Setup Waived</a></div>
O1 - Hosts: <div class="addescr" title="Reliable plans include domain & 24x7 support.">Reliable plans include domain & 24x7 support.</div>
O1 - Hosts: <div class="adlink" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27166/*http://smallbusiness.yahoo.com/webhosting
O1 - Hosts: </div>
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27176/*http://smallbusiness.yahoo.com/domains/
O1 - Hosts: <div class="addescr" title="Includes starter web page, email & domain forwarding, 24x7 support.">Includes starter web page, email & domain forwarding, 24x7 support.</div>
O1 - Hosts: <div class="adlink" title="Includes starter web page, email & domain forwarding, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27176/*http://smallbusiness.yahoo.com/domains/
O1 - Hosts: </div>
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27184/*http://smallbusiness.yahoo.com/mail
O1 - Hosts: <div class="addescr" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning.">Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning.</div>
O1 - Hosts: <div class="adlink" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27184/*http://smallbusiness.yahoo.com/mail
O1 - Hosts: </div>
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=/27190/*http://smallbusiness.yahoo.com/merchant
O1 - Hosts: <div class="addescr" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support.">$50 setup fee waived. A reliable ecommerce plan, 24x7 support.</div>
O1 - Hosts: <div class="adlink" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=/27190/*http://smallbusiness.yahoo.com/merchant
O1 - Hosts: </div>
O1 - Hosts: <div class="ybadge">
O1 - Hosts: Get your own web site at <br><a target="_top" href="http://geocities.yahoo.com">Yahoo! GeoCities</a>
O1 - Hosts: <a href="http://smallbusiness.yahoo.com/webhosting/ " target="_top"><img src="http://us.i1.yimg.com/us.yimg.com/i/us/wh/gr/badge_hostedby_purp_2.gif
O1 - Hosts: </div>
O1 - Hosts: </div>
O1 - Hosts: </div>
O1 - Hosts: <div class=ftr>
O1 - Hosts: <hr size=1 width=100%>
O1 - Hosts: Copyright ©
O1 - Hosts: 2005 Yahoo! Inc. All rights reserved<br>
O1 - Hosts: <a href="http://privacy.yahoo.com/privacy/us/geo/">Privacy Policy</a>
O1 - Hosts: - <a href="http://docs.yahoo.com/info/copyright/copyright.html">Copyright
O1 - Hosts: - <a href="http://docs.yahoo.com/info/guidelines/community.html">Guidelines</a
O1 - Hosts: - <a href="http://docs.yahoo.com/info/terms/geoterms.html">Terms of Service</a>
O1 - Hosts: - <a href="http://help.yahoo.com/help/us/geo/">Help</a >
O1 - Hosts: </div>
O1 - Hosts: </div>
O1 - Hosts: </body>
O1 - Hosts: </html>
O1 - Hosts: <!-- text below generated by server. PLEASE REMOVE --></object></layer></div></span></style></noscript></table></script></applet>
O1 - Hosts: <IMG SRC="http://geo.yahoo.com/serv?s=19190039&t=1186716508&f=us-w58
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Archivos de programa\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsServer] msfun80.exe
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\smss.exe"
O8 - Extra context menu item: Add to Windows &Live Favorites -http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -http://www.ca.com/ar/securityadvisor/virusinfo/webscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
cada cosa y despues de poner a escanear el ewido ya no aparece que falta un archivo pero si sighue abriendose dos veces mis documentos.Y muchas gracias por estar ayudandome.
Logfile of HijackThis v1.99.1
Scan saved at 08:59:58 a.m., on 19/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Apoint2K\Apoint.exe
C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe
C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\vsnpstd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\algsrvs.exe
C:\Archivos de programa\Apoint2K\Apntex.exe
C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
O1 - Hosts: "
O1 - Hosts: <html>
O1 - Hosts: <head>
O1 - Hosts: <script LANGUAGE="JavaScript">
O1 - Hosts: <!--
O1 - Hosts: if (window != top)
O1 - Hosts: top.location.href = location.href;
O1 - Hosts: // -->
O1 - Hosts: </script>
O1 - Hosts: <title>Site Unavailable</title>
O1 - Hosts: <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
O1 - Hosts: <style type="text/css">
O1 - Hosts: body{text-align:center;}
O1 - Hosts: .geohead {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;width:750px;margin:10px 0 10px 0;height:35px;}
O1 - Hosts: .geohead #geologo {width:270px;display:block; float:left; }
O1 - Hosts: .geohead #rightside {width:480px;display:block; float:right;border-bottom:1px solid #999999; height:27px;}
O1 - Hosts: .geohead #rightside #welcome {width:50%;display:block; float:left; text-align:left;}
O1 - Hosts: .geohead #rightside #wlinks {width:50%;display:block; float:right; text-align:right;}
O1 - Hosts: .ftr { margin:0px; color:#404040; font:x-small Arial,sans-serif; text-align:center; width:750px;}
O1 - Hosts: .bodywrap{display:block;height:470px;}
O1 - Hosts: .bodycnt{width:510px; display:block; float:left; background-color:#EEE9F5; height:auto; text-align:left; font-family:Arial, Helvetica, sans-serif;font-size:13px; color:#000000; padding:20px 20px 35px 20px;}
O1 - Hosts: .title { font-family:Arial, Helvetica, sans-serif; font-weight:bold; font-size:24px; color:#7C56A9}
O1 - Hosts: .adcnt{width:172px; display:block; float:right; text-align:left;cursor:pointer;cursor:hand;}
O1 - Hosts: .adcnt td {text-align:left;}
O1 - Hosts: .adsubt{font-size:10px; font-family:verdana; font-weight:bold; color:#b4b4b4; cursor:default;margin-top:5px;}
O1 - Hosts: .ybadge { font-family: Verdana, Arial, Helvetica, sans-serif; font-size:10px; color: #666666; margin-top:10px;}
O1 - Hosts: .ybadge img {margin-top:6px;}
O1 - Hosts: .adtable {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;border: 1px solid #d6dbe7; background-color:#eff7ff; padding:3px; margin-bottom:10px; width:172px;}
O1 - Hosts: .adttl{font-weight:bold;margin-bottom:3px;}
O1 - Hosts: .addescr{color:#6b6b6b; margin-bottom:3px;}
O1 - Hosts: .adlink a {color:#008200; text-decoration:none;}
O1 - Hosts: </style>
O1 - Hosts: </head>
O1 - Hosts: <body>
O1 - Hosts: <!-- following code added by server. PLEASE REMOVE -->
O1 - Hosts: <!-- preceding code added by server. PLEASE REMOVE -->
O1 - Hosts: <div id="maincnt">
O1 - Hosts: <div class="geohead"><div id="geologo"><a href="http://geocities.yahoo.com"><img height=33 alt="Yahoo! GeoCities" src="
O1 - Hosts: <div id="rightside"><div id="wlinks"><a href="http://geocities.yahoo.com">GeoCities Home</a> - <a href="http://www.yahoo.com">Yahoo!</a> - <a href="
O1 - Hosts: </div></div>
O1 - Hosts: <div class="bodywrap">
O1 - Hosts: <div class="bodycnt">
O1 - Hosts: <div class="title">Sorry, this GeoCities site is currently unavailable.</div>
O1 - Hosts: <p>The GeoCities web site you were trying to view has temporarily exceeded its data transfer limit. Please try again later. </p>
O1 - Hosts: <p>Are you the site owner?
O1 - Hosts: Avoid service interruptions in the future by increasing your data transfer limit!
O1 - Hosts: <a href="
O1 - Hosts: <p><a href="
O1 - Hosts: </div>
O1 - Hosts: <div class="adcnt">
O1 - Hosts: <a target="_top" href="http://geocities.yahoo.com"><img src="
O1 - Hosts: <div class="adsubt">SPONSORED LINKS</div>
O1 - Hosts: <!--<table width="172" border="0" bgcolor="#FFFFFF" class="adtable"><tr><td align=left>-->
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="Reliable plans include domain & 24x7 support."><a href="
O1 - Hosts: $25 Setup Waived</a></div>
O1 - Hosts: <div class="addescr" title="Reliable plans include domain & 24x7 support.">Reliable plans include domain & 24x7 support.</div>
O1 - Hosts: <div class="adlink" title="Reliable plans include domain & 24x7 support."><a href="
O1 - Hosts: </div>
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="Reliable plans include domain & 24x7 support."><a href="
O1 - Hosts: <div class="addescr" title="Includes starter web page, email & domain forwarding, 24x7 support.">Includes starter web page, email & domain forwarding, 24x7 support.</div>
O1 - Hosts: <div class="adlink" title="Includes starter web page, email & domain forwarding, 24x7 support."><a href="
O1 - Hosts: </div>
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="
O1 - Hosts: <div class="addescr" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning.">Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning.</div>
O1 - Hosts: <div class="adlink" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="
O1 - Hosts: </div>
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="
O1 - Hosts: <div class="addescr" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support.">$50 setup fee waived. A reliable ecommerce plan, 24x7 support.</div>
O1 - Hosts: <div class="adlink" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="
O1 - Hosts: </div>
O1 - Hosts: <div class="ybadge">
O1 - Hosts: Get your own web site at <br><a target="_top" href="http://geocities.yahoo.com">Yahoo! GeoCities</a>
O1 - Hosts: <a href="
O1 - Hosts: </div>
O1 - Hosts: </div>
O1 - Hosts: </div>
O1 - Hosts: <div class=ftr>
O1 - Hosts: <hr size=1 width=100%>
O1 - Hosts: Copyright ©
O1 - Hosts: 2005 Yahoo! Inc. All rights reserved<br>
O1 - Hosts: <a href="
O1 - Hosts: - <a href="
O1 - Hosts: - <a href="
O1 - Hosts: - <a href="
O1 - Hosts: - <a href="
O1 - Hosts: </div>
O1 - Hosts: </div>
O1 - Hosts: </body>
O1 - Hosts: </html>
O1 - Hosts: <!-- text below generated by server. PLEASE REMOVE --></object></layer></div></span></style></noscript></table></script></applet>
O1 - Hosts: <IMG SRC="
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Archivos de programa\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsServer] msfun80.exe
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\smss.exe"
O8 - Extra context menu item: Add to Windows &Live Favorites -
O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Si mezclas procesos externos con nuestras indicaciones, no vamos a poder seguir ayudandote.
Los cambios que se hagan hemos de saberlos, y con dos metodos paralelos aplicados no puede saberse.
Ahora vemos que tienes mal el HOSTS, borralo, está en C:\windows\system32\drivers\etc\ y que has de borrar varias claves:
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\smss.exe"
y hay otra sospechosa que se supone malware, pero claro, siempre que este EXPLORER.EXE lo fuera, asi que mejor dinos antes cuantos EXPLORER.EXE tienes y donde... (con un Iniicio -> Buscar -> Todos los ficheros y carpetas) y envianoslos para analiozar, junto con
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\smss.exe
y este wsctf.exe que no sé donde está, seguramente en c:\windows\system32\ , envianoslos todos:
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
Tras analizarlos informaremos
saludos
ms, 19-09-2007
Los cambios que se hagan hemos de saberlos, y con dos metodos paralelos aplicados no puede saberse.
Ahora vemos que tienes mal el HOSTS, borralo, está en C:\windows\system32\drivers\etc\ y que has de borrar varias claves:
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\smss.exe"
y hay otra sospechosa que se supone malware, pero claro, siempre que este EXPLORER.EXE lo fuera, asi que mejor dinos antes cuantos EXPLORER.EXE tienes y donde... (con un Iniicio -> Buscar -> Todos los ficheros y carpetas) y envianoslos para analiozar, junto con
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\smss.exe
y este wsctf.exe que no sé donde está, seguramente en c:\windows\system32\ , envianoslos todos:
->
Tras analizarlos informaremos
saludos
ms, 19-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Para enviar via email lea el tutorial que le indica el admin. Lo mas seguro es que tenga que usar una contraseña para compilar los archivos la cual es "VIRUS" una vez puesta la adjunta a su correo y lo envia a la direccion que le dicen (todo esto viene en el link)
https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
Sobre los explorer no es normal tener 4, el admin le indica enviar todos para ser analizados. junto con los otros 2 archivos potencialmente inseguros.
Le deja tambien el admin una ruta para encontrar estos ficheros, sigala adjunte y envie. Gracias.
Sobre los explorer no es normal tener 4, el admin le indica enviar todos para ser analizados. junto con los otros 2 archivos potencialmente inseguros.
Le deja tambien el admin una ruta para encontrar estos ficheros, sigala adjunte y envie. Gracias.
[DJ eXploit]
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Estos EXPLORER.EXE dinos donde estan (ruta) y su tamaño, y posiblemente asi sepamos cual sea el sospechoso
saludos
ms, 19-09-2007
saludos
ms, 19-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
El Explorer recibido es atipico pero no tiene rutinas viricas.
No nos dijiste la temperatura de la CPU... hazlo please.
saludos
ms, 20-09-2007
No nos dijiste la temperatura de la CPU... hazlo please.
saludos
ms, 20-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Los otros archivos no los encontre y no e hecho nada mas y ahora cada vez q enciendo la compu sale una ventanita de descargar y dice KessenjanganSosial.exe y pesa 44,4 KB y dice Ejecutar , Guardar o Cancelar
Última edición por ayanokogi el 22 Sep 2007, 20:35, editado 1 vez en total.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Con un Inicio -> Buscar -> Todos los ficheros y carpetas -> Explorer.exe encontraras los que tengas, los empaquetas en un ZIP o RAR con password VIRUS y nos los envias para analizar, como se indica:
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
saludos
ms, 22-09-2007
->
saludos
ms, 22-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Yo ya te envie el Explorer.exe y lo que pasa es que sale ahora cada vez q enciendo la compu sale una ventanita de descargar y dice KessenjanganSosial.exe y pesa 44,4 KB y dice Ejecutar , Guardar o Cancelar y intente descargar el Everest home edition para enviarte la temperatura pero cuando intento descargarlo se apaga la computadora
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Eso puede ser una variante del Brontok..
Prueba estas utilidades:
[b] ELITRIIP: [/b]
http://www.zonavirus.com/descargas/elitriip.asp
[b] ELISTARA: [/b]
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 22-09-2007
Prueba estas utilidades:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 22-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Por que no las empaquetó con password :
En opciones avanzadas verá opcion de empaquetar con password, hagalo asi y utlice como nombre de password VIRUS
saludos
ms, 24-09-2007
En opciones avanzadas verá opcion de empaquetar con password, hagalo asi y utlice como nombre de password VIRUS
saludos
ms, 24-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Ya puse el elitrip y aqui les mando el Infosat:
Sun Sep 23 13:51:41 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\AUTORUN.INF --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\KESENJANGANSOSIAL.EXE.Muestra EliTriIP v3.91
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\KESENJANGANSOSIAL.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\RAKYATKELAPARAN.EXE.Muestra EliTriIP v3.91
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SHELLNEW\RAKYATKELAPARAN.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\CMD-BRONTOK.EXE.Muestra EliTriIP v3.91
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\CMD-BRONTOK.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Bron-Spizaetus"=""C:\WINDOWS\ShellNew\RakyatKelaparan.exe""
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
Sun Sep 23 13:54:10 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Motorola Phone Tools\widcomm\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP26\A0023780.dll --> Eliminado, SdBot.worm.gen.G
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP34\A0034177.inf --> Eliminado, BackDoor.CMQ (inf)
Mon Sep 24 18:47:20 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\AUTORUN.INF --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\KESENJANGANSOSIAL.EXE.Muestra EliTriIP v3.91
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\KESENJANGANSOSIAL.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\RAKYATKELAPARAN.EXE.Muestra EliTriIP v3.91
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SHELLNEW\RAKYATKELAPARAN.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\CMD-BRONTOK.EXE.Muestra EliTriIP v3.91
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\CMD-BRONTOK.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Bron-Spizaetus"=""C:\WINDOWS\ShellNew\RakyatKelaparan.exe""
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
Mon Sep 24 18:48:52 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad A:\
Mon Sep 24 18:49:02 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sun Sep 23 13:51:41 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\AUTORUN.INF --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\KESENJANGANSOSIAL.EXE.Muestra EliTriIP v3.91
a "
C:\WINDOWS\KESENJANGANSOSIAL.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\RAKYATKELAPARAN.EXE.Muestra EliTriIP v3.91
a "
C:\WINDOWS\SHELLNEW\RAKYATKELAPARAN.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\CMD-BRONTOK.EXE.Muestra EliTriIP v3.91
a "
C:\WINDOWS\SYSTEM32\CMD-BRONTOK.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Bron-Spizaetus"=""C:\WINDOWS\ShellNew\RakyatKelaparan.exe""
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
Sun Sep 23 13:54:10 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Motorola Phone Tools\widcomm\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP26\A0023780.dll --> Eliminado, SdBot.worm.gen.G
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP34\A0034177.inf --> Eliminado, BackDoor.CMQ (inf)
Mon Sep 24 18:47:20 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\AUTORUN.INF --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\KESENJANGANSOSIAL.EXE.Muestra EliTriIP v3.91
a "
C:\WINDOWS\KESENJANGANSOSIAL.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\RAKYATKELAPARAN.EXE.Muestra EliTriIP v3.91
a "
C:\WINDOWS\SHELLNEW\RAKYATKELAPARAN.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\CMD-BRONTOK.EXE.Muestra EliTriIP v3.91
a "
C:\WINDOWS\SYSTEM32\CMD-BRONTOK.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Bron-Spizaetus"=""C:\WINDOWS\ShellNew\RakyatKelaparan.exe""
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
Mon Sep 24 18:48:52 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad A:\
Mon Sep 24 18:49:02 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Y ultimamente pongo el administrador de tareas y salen 2 lssas y uno que dice services.exe, que no se si seran dañinos
tambien en el Infosat de elitrip dice que se elimino el Rakyatkelarapan.exe pero sigue apareciendo pero solo cuando inicio mi pc y cuando intento descargar cualquier cosa se apaga sola yo puse el administrador de tareas y esta un proceso llamado
Tu_logonui.exe que solo aparece cuando pongo algo a descargar y se apaga la computadora.
tambien en el Infosat de elitrip dice que se elimino el Rakyatkelarapan.exe pero sigue apareciendo pero solo cuando inicio mi pc y cuando intento descargar cualquier cosa se apaga sola yo puse el administrador de tareas y esta un proceso llamado
Tu_logonui.exe que solo aparece cuando pongo algo a descargar y se apaga la computadora.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues envienos estos ficheros para analizar:
Por favor, envienos una muestra del fichero
C:\Muestras\KESENJANGANSOSIAL.EXE.Muestra EliTriIP v3.91
Por favor, envienos una muestra del fichero
C:\Muestras\RAKYATKELAPARAN.EXE.Muestra EliTriIP v3.91
Por favor, envienos una muestra del fichero
C:\Muestras\CMD-BRONTOK.EXE.Muestra EliTriIP v3.91
Y envienos tambien este fichero que indica:
Tu_logonui.exe
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
Sobre el lsass.exe, uno es normal que lo cargue, pero dos ???
Posteenos log actual del HJT:
[b]
[color=yellow]HJT : (HiJackThis)[/color] [/b]
[i]¿Como utilizar el Hijackthis ?[/i]
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b] [/url]
Tras analizarlo, informaremos
saludos
ms, 25-09-2007
Por favor, envienos una muestra del fichero
C:\Muestras\KESENJANGANSOSIAL.EXE.Muestra EliTriIP v3.91
Por favor, envienos una muestra del fichero
C:\Muestras\RAKYATKELAPARAN.EXE.Muestra EliTriIP v3.91
Por favor, envienos una muestra del fichero
C:\Muestras\CMD-BRONTOK.EXE.Muestra EliTriIP v3.91
Y envienos tambien este fichero que indica:
Tu_logonui.exe
->
Sobre el lsass.exe, uno es normal que lo cargue, pero dos ???
Posteenos log actual del HJT:
[i]¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·
Tras analizarlo, informaremos
saludos
ms, 25-09-2007
Última edición por msc hotline sat el 26 Sep 2007, 06:16, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Hay un PEQUEÑO problema las mustras yo despues de que no pude enviarlas las borre antes de consultar y aqui va el log de hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 08:28:33 p.m., on 25/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Archivos de programa\Apoint2K\Apoint.exe
C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe
C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\vsnpstd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\algsrvs.exe
C:\Archivos de programa\Apoint2K\Apntex.exe
C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\services.exe
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\services.exe
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\services.exe
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\lsass.exe
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\lsass.exe
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\lsass.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Archivos de programa\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsServer] msfun80.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Tok-Cirrhatus-3213] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\br7449on.exe"
O4 - Startup: Empty.pif = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Add to Windows &Live Favorites -http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -http://www.ca.com/ar/securityadvisor/virusinfo/webscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
Logfile of HijackThis v1.99.1
Scan saved at 08:28:33 p.m., on 25/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Archivos de programa\Apoint2K\Apoint.exe
C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe
C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\vsnpstd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\algsrvs.exe
C:\Archivos de programa\Apoint2K\Apntex.exe
C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\services.exe
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\services.exe
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\services.exe
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\lsass.exe
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\lsass.exe
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\lsass.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Archivos de programa\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsServer] msfun80.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Tok-Cirrhatus-3213] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\br7449on.exe"
O4 - Startup: Empty.pif = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Add to Windows &Live Favorites -
O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues muy mal hecho... Borrar las muestras que le pedimos en lugar de enviarnoslas para analizar, es quemar sus barcos, poco podemos hacer con dicha variante hasta que nos lleguen por parte de otro usuario.
Pero además, vemos que tiene mas cosas, ya que en este ultimo log vemos residentes otros ficheros sospechosos, de los que LE PEDIMOS AHORA QUE NOS ENVIE MUESTRA PARA ANALIZAR:
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\services.exe
(no se congfunda con el del mismo nombre pero que es del sistema y está en C:\WINDOWS\system32\services.exe)
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\lsass.exe
(no se congfunda con el del mismo nombre pero que es del sistema y está en C:\WINDOWS\system32\lsass.exe)
y envienos tambien estos que vemos que lanza, que esperamos que no habrá borrado...:
C:\WINDOWS\SYSTEM32\EXPLORER.EXE (no se confunda con el C:\WINDOWS\explorer.exe que es el del sistema ! )
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\br7449on.exe
y tambien vemos lo que parece ser un virus de pendrive:
mire si en la carpeta de sistema (C:\windows\system32\ ) encuentra estos dos ficheros y nos los envía tambien para analizar:
msime82.exe
msfun80.exe
Una vez localizados todos, NOS LOS ENVIA PARA ANALIZAR Y CONTROLAR, como indicamos en:
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
y mire si por casualidad con un Inicio-> Buscar -> encontrara en alguna parte estos, de los que aun hay restos en el registro, al ser variantes no controladas:
KesenjanganSosial.exe
RakyatKelaparan.exe
y si es asi nos los envia tambien
Tras su recepcion, los analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos en el foro.
saludos
ms, 26-09-2007
Pero además, vemos que tiene mas cosas, ya que en este ultimo log vemos residentes otros ficheros sospechosos, de los que LE PEDIMOS AHORA QUE NOS ENVIE MUESTRA PARA ANALIZAR:
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\services.exe
(no se congfunda con el del mismo nombre pero que es del sistema y está en C:\WINDOWS\system32\services.exe)
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\lsass.exe
(no se congfunda con el del mismo nombre pero que es del sistema y está en C:\WINDOWS\system32\lsass.exe)
y envienos tambien estos que vemos que lanza, que esperamos que no habrá borrado...:
C:\WINDOWS\SYSTEM32\EXPLORER.EXE (no se confunda con el C:\WINDOWS\explorer.exe que es el del sistema ! )
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\br7449on.exe
y tambien vemos lo que parece ser un virus de pendrive:
[quote]
msime82.exe o msfun80.exe Gusano VB.CIU que es instalado en el sistema operativo por otro malware y por ejemplo puede ser propagado en todas las unidades de disco extraibles como FUN.XLS.EXE.[/quote]
mire si en la carpeta de sistema (C:\windows\system32\ ) encuentra estos dos ficheros y nos los envía tambien para analizar:
msime82.exe
msfun80.exe
Una vez localizados todos, NOS LOS ENVIA PARA ANALIZAR Y CONTROLAR, como indicamos en:
->
y mire si por casualidad con un Inicio-> Buscar -> encontrara en alguna parte estos, de los que aun hay restos en el registro, al ser variantes no controladas:
KesenjanganSosial.exe
RakyatKelaparan.exe
y si es asi nos los envia tambien
Tras su recepcion, los analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos en el foro.
saludos
ms, 26-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Las muestras enviadas no son las solicitadas. Repita el envio y fijese en la Ruta de donde las coje !!
saludos
sm, 17-09-2007
saludos
sm, 17-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Recibidos los ficheros para analizar:
msime82.exe
msfun80.exe
ya se controlan con la actual version del ELISTARA, compruebalo.
saludos
ms, 28-09-2007
msime82.exe
msfun80.exe
ya se controlan con la actual version del ELISTARA, compruebalo.
saludos
ms, 28-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Aqui va el chunche del elistara:
Sun Sep 23 13:51:41 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\AUTORUN.INF --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\KESENJANGANSOSIAL.EXE.Muestra EliTriIP v3.91
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\KESENJANGANSOSIAL.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\RAKYATKELAPARAN.EXE.Muestra EliTriIP v3.91
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SHELLNEW\RAKYATKELAPARAN.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\CMD-BRONTOK.EXE.Muestra EliTriIP v3.91
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\CMD-BRONTOK.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Bron-Spizaetus"=""C:\WINDOWS\ShellNew\RakyatKelaparan.exe""
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
Sun Sep 23 13:54:10 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Motorola Phone Tools\widcomm\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP26\A0023780.dll --> Eliminado, SdBot.worm.gen.G
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP34\A0034177.inf --> Eliminado, BackDoor.CMQ (inf)
Mon Sep 24 18:47:20 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\AUTORUN.INF --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\KESENJANGANSOSIAL.EXE.Muestra EliTriIP v3.91
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\KESENJANGANSOSIAL.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\RAKYATKELAPARAN.EXE.Muestra EliTriIP v3.91
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SHELLNEW\RAKYATKELAPARAN.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\CMD-BRONTOK.EXE.Muestra EliTriIP v3.91
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\CMD-BRONTOK.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Bron-Spizaetus"=""C:\WINDOWS\ShellNew\RakyatKelaparan.exe""
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
Mon Sep 24 18:48:52 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad A:\
Mon Sep 24 18:49:02 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Wed Sep 26 11:11:37 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\AUTORUN.INF --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\KESENJANGANSOSIAL.EXE.Muestra EliTriIP v3.91
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\KESENJANGANSOSIAL.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\RAKYATKELAPARAN.EXE.Muestra EliTriIP v3.91
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SHELLNEW\RAKYATKELAPARAN.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\CMD-BRONTOK.EXE.Muestra EliTriIP v3.91
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\CMD-BRONTOK.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Bron-Spizaetus"=""C:\WINDOWS\ShellNew\RakyatKelaparan.exe""
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
Wed Sep 26 11:12:03 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sat Sep 29 12:22:45 2007
EliStartPage v14.73 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\FUN.XLS.EXE --> Eliminado Worm.VB.EL
C:\WINDOWS\SYSTEM32\ALGSRVS.EXE --> Eliminado Worm.VB.EL
C:\WINDOWS\SYSTEM32\MSFUN80.EXE --> Eliminado Worm.VB.EL
C:\WINDOWS\SYSTEM32\MSIME82.EXE --> Eliminado Worm.VB.EL
Entrada Eliminada [HKLM\...\Run] "IMJPMIG8.2"="msime82.exe"
Entrada Eliminada [HKCU\...\Run] "MsServer"="msfun80.exe"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Sep 29 12:23:16 2007
EliStartPage v14.73 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\AUTORUN.INF --> Eliminado, Worm.VB.EL(inf)
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0035405.EXE --> Eliminado, Worm.VB.EL
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0035424.EXE --> Eliminado, Worm.VB.EL
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0035452.EXE --> Eliminado, Worm.VB.EL
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0035472.EXE --> Eliminado, Worm.VB.EL
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0036477.EXE --> Eliminado, Worm.VB.EL
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0036478.EXE --> Eliminado, Worm.VB.EL
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0036479.EXE --> Eliminado, Worm.VB.EL
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0036480.EXE --> Eliminado, Worm.VB.EL
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0036481.INF --> Eliminado, Worm.VB.EL(inf)
Sun Sep 23 13:51:41 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\AUTORUN.INF --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\KESENJANGANSOSIAL.EXE.Muestra EliTriIP v3.91
a "
C:\WINDOWS\KESENJANGANSOSIAL.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\RAKYATKELAPARAN.EXE.Muestra EliTriIP v3.91
a "
C:\WINDOWS\SHELLNEW\RAKYATKELAPARAN.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\CMD-BRONTOK.EXE.Muestra EliTriIP v3.91
a "
C:\WINDOWS\SYSTEM32\CMD-BRONTOK.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Bron-Spizaetus"=""C:\WINDOWS\ShellNew\RakyatKelaparan.exe""
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
Sun Sep 23 13:54:10 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Motorola Phone Tools\widcomm\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP26\A0023780.dll --> Eliminado, SdBot.worm.gen.G
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP34\A0034177.inf --> Eliminado, BackDoor.CMQ (inf)
Mon Sep 24 18:47:20 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\AUTORUN.INF --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\KESENJANGANSOSIAL.EXE.Muestra EliTriIP v3.91
a "
C:\WINDOWS\KESENJANGANSOSIAL.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\RAKYATKELAPARAN.EXE.Muestra EliTriIP v3.91
a "
C:\WINDOWS\SHELLNEW\RAKYATKELAPARAN.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\CMD-BRONTOK.EXE.Muestra EliTriIP v3.91
a "
C:\WINDOWS\SYSTEM32\CMD-BRONTOK.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Bron-Spizaetus"=""C:\WINDOWS\ShellNew\RakyatKelaparan.exe""
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
Mon Sep 24 18:48:52 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad A:\
Mon Sep 24 18:49:02 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Wed Sep 26 11:11:37 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\AUTORUN.INF --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\KESENJANGANSOSIAL.EXE.Muestra EliTriIP v3.91
a "
C:\WINDOWS\KESENJANGANSOSIAL.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\RAKYATKELAPARAN.EXE.Muestra EliTriIP v3.91
a "
C:\WINDOWS\SHELLNEW\RAKYATKELAPARAN.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\CMD-BRONTOK.EXE.Muestra EliTriIP v3.91
a "
C:\WINDOWS\SYSTEM32\CMD-BRONTOK.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Bron-Spizaetus"=""C:\WINDOWS\ShellNew\RakyatKelaparan.exe""
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
Wed Sep 26 11:12:03 2007
EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sat Sep 29 12:22:45 2007
EliStartPage v14.73 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\FUN.XLS.EXE --> Eliminado Worm.VB.EL
C:\WINDOWS\SYSTEM32\ALGSRVS.EXE --> Eliminado Worm.VB.EL
C:\WINDOWS\SYSTEM32\MSFUN80.EXE --> Eliminado Worm.VB.EL
C:\WINDOWS\SYSTEM32\MSIME82.EXE --> Eliminado Worm.VB.EL
Entrada Eliminada [HKLM\...\Run] "IMJPMIG8.2"="msime82.exe"
Entrada Eliminada [HKCU\...\Run] "MsServer"="msfun80.exe"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Sep 29 12:23:16 2007
EliStartPage v14.73 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\AUTORUN.INF --> Eliminado, Worm.VB.EL(inf)
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0035405.EXE --> Eliminado, Worm.VB.EL
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0035424.EXE --> Eliminado, Worm.VB.EL
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0035452.EXE --> Eliminado, Worm.VB.EL
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0035472.EXE --> Eliminado, Worm.VB.EL
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0036477.EXE --> Eliminado, Worm.VB.EL
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0036478.EXE --> Eliminado, Worm.VB.EL
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0036479.EXE --> Eliminado, Worm.VB.EL
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0036480.EXE --> Eliminado, Worm.VB.EL
C:\System Volume Information\_restore{B3DC4131-CA4C-43B1-8E9E-13A3758B0CE2}\RP35\A0036481.INF --> Eliminado, Worm.VB.EL(inf)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Ya ves que el ELISTARA actual, ha eliminado las muestras que habias enviado, pero ahora es el ELITRIIP que encuentra variantes no controladas y pide enviar otras muestras...
ya sabes:
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
saludos
ms, 29-09-2007
ya sabes:
->
saludos
ms, 29-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Ojo, vemos que este ELITRIIP es antiguo, ya hay la 3.93
Antes de enviarnos muestras que pedía aquella versio, prueba la actual:
[b] ELITRIIP: [/b]
http://www.zonavirus.com/descargas/elitriip.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 29-09-2007
Antes de enviarnos muestras que pedía aquella versio, prueba la actual:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 29-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online