VURUS, SE ME VELVE LOCO! :-)

[8jordi8]

DESPUÉS DE UNOS MESES SIN APARECER POR AQUÍ, DE NUEVO OS PIDO VUESTRA AYUDA.



ENTRE OTRAS COSAS... SE ME ABREN MUCHAS VENTANAS DE PUBLICIDAD, SE ME HAN ABIERTO MUCHAS PESTAÑAS DE INTERNET EXPLORER 8CONCRETAMENTE TENIA EL FACEBOOK ABIERTO Y SE HAN ABIERTO MUCHÍSIMAS PESTAÑAS DEL FACEBOOK), Y POR ÚLTIMO ME SALIÓ UNA VENTANA DE WINDOWS COM UN ERROR EN INGLÉS QUE ME DECIA QUE MI COMPUTADORA ESTABA INFECTADA, DANDOME LA OPCIÓN DE CLICAR EN ACEPTAR O CANCELAR.

EN FIN CREO QUE DEBE ESTAR MAL LA COSA, ADEMÁS EL PORTÁTIL YA ES VIEJETE.



SI ME DAIS ALGUNA SOLUCIÓN OS ESTARÉ AGRADECIDO COMO EN ANTERIORES OCASIONES.

MUCHAS GRACIAS

[msc hotline sat]

Pues mira de ir siguiendo lo indicado en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=26947



y nos cuentas el resultado, gracias



saludos



ms, 4-7-2009

[8jordi8]

He mandado 2 sms al 5024 con el texto SAT para pasar los programas necesarios y no me llega el código...

Es normal que tarde tanto?

Saludos

[8jordi8]

HE PASADO EL kaspersky, ME DA EL SIGUIENTE INFORME:

(ELISTARA, ELITRIP... MANDO EL SMS Y NO RECIBO EL CODIGO) DE MOMENTO OS PASO LO QUE ME HA SALIDO, GRACIAS.





KASPERSKY ONLINE SCANNER INFORME

sábado, 04 de julio de 2009 19:00:01

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.2

Ultima actualización: 4/07/2009

Registros en la base antivirus: 2195715





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

C:\

D:\

E:\



Estadísticas

Número de objeros analizados 85414

Virus encontrados 0

Objetos infectados 0 / 0

Objetos sospechosos 0

Duración del análisis 01:37:43



Bombre del objeto infectado Nombre del virus Última acción

C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\Internet.evt Object is locked saltado



C:\WINDOWS\system32\config\DEFAULT Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SOFTWARE Object is locked saltado



C:\WINDOWS\system32\config\SYSTEM Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado



C:\WINDOWS\system32\h323log.txt Object is locked saltado



C:\WINDOWS\Temp\Perflib_Perfdata_150.dat Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



C:\WINDOWS\SchedLgU.Txt Object is locked saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\LiveUpdate\2009-07-04_Log.ALUSchedulerSvc.LiveUpdate Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\Jordi Soler\ntuser.dat Object is locked saltado



C:\Documents and Settings\Jordi Soler\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Temp\~DFF66D.tmp Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Temp\Perflib_Perfdata_7a4.dat Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Archivos temporales de Internet\Content.IE5\DFKHA7QT\p_660253723=1[1].txt Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Archivos temporales de Internet\Content.IE5\ZN7QZJ7P\button_send_small_english[1].png Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Archivos temporales de Internet\Content.IE5\LWN1Z300\rikki_couch6_270X160[1].flv Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\{dcad3e61-df5f-4308-920e-e78e871e0e91}\DBStore\LogFiles\edb.log Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\{dcad3e61-df5f-4308-920e-e78e871e0e91}\DBStore\LogFiles\edbtmp.log Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\{dcad3e61-df5f-4308-920e-e78e871e0e91}\DBStore\contacts.edb Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\{dcad3e61-df5f-4308-920e-e78e871e0e91}\DBStore\tempedb.edb Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\{17d696ff-e5ee-4538-92e3-f227bd75d86a}\DBStore\LogFiles\edb.log Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\{17d696ff-e5ee-4538-92e3-f227bd75d86a}\DBStore\contacts.edb Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\{17d696ff-e5ee-4538-92e3-f227bd75d86a}\DBStore\tempedb.edb Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Datos de programa\Microsoft\Messenger\ContactsLog.txt Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado



C:\Documents and Settings\Jordi Soler\Configuración local\Datos de programa\Microsoft\Search Enhancement Pack\Search Box Extension\history.dat Object is locked saltado



C:\Documents and Settings\Jordi Soler\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\Jordi Soler\Datos de programa\Skype\jordisoler51\index2.dat Object is locked saltado



C:\Documents and Settings\Jordi Soler\Datos de programa\Skype\jordisoler51\contactgroup256.dbb Object is locked saltado



C:\Documents and Settings\Jordi Soler\Datos de programa\Skype\jordisoler51\user1024.dbb Object is locked saltado



C:\Documents and Settings\Jordi Soler\Datos de programa\Skype\jordisoler51\dyncontent\bundle.dat Object is locked saltado



C:\Documents and Settings\Jordi Soler\Datos de programa\Skype\jordisoler51\call256.dbb Object is locked saltado



C:\Documents and Settings\Jordi Soler\Datos de programa\Skype\jordisoler51\callmember256.dbb Object is locked saltado



C:\Documents and Settings\Jordi Soler\Datos de programa\Skype\jordisoler51\voicemail256.dbb Object is locked saltado



C:\Documents and Settings\Jordi Soler\Datos de programa\Skype\jordisoler51\transfer256.dbb Object is locked saltado



C:\Documents and Settings\Jordi Soler\Datos de programa\Skype\jordisoler51\profile4096.dbb Object is locked saltado



C:\Documents and Settings\Jordi Soler\Datos de programa\Skype\jordisoler51\chatmember256.dbb Object is locked saltado



C:\Documents and Settings\Jordi Soler\Datos de programa\Skype\jordisoler51\transfer512.dbb Object is locked saltado



C:\Documents and Settings\Jordi Soler\Datos de programa\Skype\jordisoler51\chatmsg256.dbb Object is locked saltado



C:\Documents and Settings\Jordi Soler\Datos de programa\Skype\jordisoler51\chat512.dbb Object is locked saltado



C:\Documents and Settings\Jordi Soler\Tracing\WindowsLiveMessenger-uccapi-0.uccapilog Object is locked saltado



C:\Archivos de programa\Veoh Networks\Veoh\upload.log Object is locked saltado



C:\Archivos de programa\Veoh Networks\Veoh\client.log Object is locked saltado



C:\System Volume Information\_restore{F2B06C8D-25F5-4150-8148-D50A9C0263AC}\RP555\change.log Object is locked saltado



D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



D:\System Volume Information\_restore{F2B06C8D-25F5-4150-8148-D50A9C0263AC}\RP555\change.log Object is locked saltado



Análisis completado.

[msc hotline sat]

No, la respuesta del SMS es automática e inmediata. Yo he enviado 3 y en mensaje de vuelta ha sido acto seguido. Algo raro pasa con tus SMS... no serán de los que solo sirven para telefonos del mismo operador ???



En cualquier caso, en la misma página de indicaciones, hay el acceso a donde puedes preguntar mas sobre incidencias en el particular, no es cosa del foro:



[url=http://www.pymsolutions.com/soporte-sms-premium.asp]soporte SMS Premium[/url]





y visto lo indicado por el AV ONLINE, no parece que tengas nada malware:



Número de objeros analizados 85414

Virus encontrados 0

Objetos infectados 0 / 0

Objetos sospechosos 0





De todas formas, prueba el ELISTARA y posteanos el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 4-7-2009

[8jordi8]

nada, mando sms y no recibo nada, el link de la pagina para sms no me funciona...

Mobil puedo operar con cualquier operadora... no se q debe pasar...

en fin seguiré probando...

[msc hotline sat]

Ya, pero igual los SMS que tienes son de promocion para enviar solo a la misma operadora... En cualquier caso, consultalo como te he dicho a [url=http://www.pymsolutions.com/soporte-sms-premium.asp]soporte SMS Premium[/url]



Y si cuando puedas descargar el ELISTARA no es suficiente, te recomiendo descargues el SPROCES, que nos da mucha mas informacion que el HJT:




[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 4-7-2009

[8jordi8]

en el link de soprte sms premium no puedo hacer nada, ya que no tengo el codigo que me pide...

y desde el el mobil sigue son dejarme hacer nada, no recibo nada, he llamado a atencion al cliente y me dicen que si deberia recibir que no hay ninguna anomalia, de hecho puedo mandar sms a lugares para recibir tonos u otras cosas... en cambio SAT al 5024 nada, me estoy dejando la pasta jeje

[8jordi8]

LO CONSEGUÍ DESDE MOBIL DE UN AMIGO



RESULTADO DE ELISTARA:



(5-7-2009 11:45:46 (GMT))

EliStartPage v18.95 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SAGCSUY.EXE.Muestra EliStartPage v18.95

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JORDI SOLER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\SAGCSUY.EXE --> Eliminado

C:\DOCUMENTS AND SETTINGS\JORDI SOLER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\SAGCSUY_NAVPS.DAT --> Eliminado

C:\DOCUMENTS AND SETTINGS\JORDI SOLER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\SAGCSUY.DAT --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\FREDDY49.EXE.Muestra EliStartPage v18.95

a "virus@satinfo.es". Gracias.

C:\WINDOWS\FREDDY49.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\PP10.EXE.Muestra EliStartPage v18.95

a "virus@satinfo.es". Gracias.

C:\WINDOWS\PP10.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "SAGCSUY"=""c:\documents and settings\jordi soler\configuración local\datos de programa\sagcsuy.exe" sagcsuy"

Entrada Eliminada [HKLM\...\Run] "pp"="C:\windows\pp10.exe"

Entrada Eliminada [HKLM\...\Run] "sysldtray"="C:\windows\ld12.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[lucl]

Pues un par de cosas, tienes que volver a pasar elistara porque te falta el informe por exploracion. Solo tienes el de accion directa, para ello cuando terminas de limpiar temporales te sale el cuadro grande que pone explorar o salir. Dale a explorar y te analizara todo el pc.

Y lo segundo es que nos envies los archivos que te copio aqui



Por favor, envienos una muestra del fichero

C:\Muestras\SAGCSUY.EXE.Muestra EliStartPage v18.95



Por favor, envienos una muestra del fichero

C:\Muestras\FREDDY49.EXE.Muestra EliStartPage v18.95



Por favor, envienos una muestra del fichero

C:\Muestras\PP10.EXE.Muestra EliStartPage v18.95



Para ello sigue las instrucciones del link siguiente



https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Es conveniente que antes que nos envies las muestras pases de nuevo elistara por si aparece algo mas. Recuerda volver a pegarnos el log de infosat.txt saludos

[msc hotline sat]

Cuando recibamos las muestras las analizaremos e informaremos.



Y espero que no te cuesten ni un euro los SMS, ya que por lo que dices no llegaron a procesarse.



saludos



ms, 6-7-2009

[8jordi8]

No puedo mandarlo por envio de muestras, cuando lo añado al zip y le pongo la contraseña virus, me dice q tiene que tener 8 caracteres...

[msc hotline sat]

??? Recibido fichero malware, se pasa a controlar y eliminar en la version de hoy del ELISTARA 18.96



Es un Koobface, acostumbra a ir acompañado de ficheros complementarios que empiezan por ld y pp



Este que te pediamos era complementario, mira si nos lo puedes enviar, aunque sea sin password...


[quote]Por favor, envienos una muestra del fichero

C:\Muestras\PP10.EXE.Muestra EliStartPage v18.95[/quote]

saludos



ms, 6-7-2009

[8jordi8]

HOLA, HOY SI OS HE PODIDO ENVIAR POR ENVIO DE MUESTRAS LOS 3 ARCHIVOS (sin pasword)

MUCHAS GRACIAS

[msc hotline sat]

Pues mañana los veremos y controlaremos



De momento baja el ELISTARA 18.96 y controla ya el que nos enviaste hoy



saludos



ms, 6-7-2009

[8jordi8]

Como controlo el que ya os envié?

[msc hotline sat]

Ayer decíamos:


[quote="msc"]Pues mañana los veremos y controlaremos



[b][i]De momento baja el ELISTARA 18.96 y controla ya el que nos enviaste hoy[/i][/b]
[/quote]

Con dicha versión 18.96 debes detectar y controlar el Freddy49 como Koobface:



[b][i]---v18.96-( 6 de Julio del 2009) (Muestras de (3)PWS-OnLineGames.Olhrwef, Net-Worm.Koobface "FREDDY49.EXE", Buzus.AYIE "DLLCACHE.EXE" y Buzus.AAKR "SYSMGR.EXE")[/i][/b]



y hoy hemos recibido las nuevas muestras que pasamos a controlar con la version de hoy, 18.97 del ELISTARA, como NAVIPROMO y la otra un complemento del Koobface.



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 7-7-2009