ESTIMADOS AMIGOS:
ULTIMAMENTE ESTA ES LA PAGINA QUE VISITO MAS AMENUDO, Y NO ES PORQUE NO SEA DE MI AGRADO, LO QUE PASA ES QUE O SOY MUY TORPE, O ESTE PROBLEMA ES DICIFIL DE SOLUCIONAR, Y ES QUE CADA VEZ QUE ACCEDO A INTERNET, ME AVISA EL "AVG" DE QUE HAY POR AHÍ UN TR/DROP.VIDRO.U, TR/QHOST.QR Y TR/CLICK.526, QUE ME LOS BORRA, PERO QUE VUELVEN A SALIR.
LE HE PASADO YA TODO LOS ANTIVIRUS Y ANTIESPIWARE EN MODO A PRUEBA DE FALLOS, PERO ME DICE QUE NO PUEDE BORRAR ALGUNOS ARCHIVOS.
SERIAN TAN AMABLES DE AYUDARME?
GRACIAS
TR/DROP.VIDRO.U, TR/QHOST.QR Y TR/CLICK.526
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Si usa XP o Me, además de arrancar en modo seguro o a PRUEBA DE FALLOS respectivamente, debe deshabilitar la restauracion de sistema.
Tras ello, si asi no logra eliminarlos, mueva los ficheros en los que detecte bicho, a un directorio de cuarentena y apague el ordenador y al arrancar ya no los pondrá em uso, y su antivirus o antispyware deberá poder eliminarlos
Además. el Q-HOST le habrá alterado el fichero HOSTS. O lo limpia manualmente eliminando las entradas malware. o utilice para ello el ELISTARA:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
saludos
ms, 26-08-2005
y tras ello mops cuenta el resultado como resìesta de este Tema, gracias
Tras ello, si asi no logra eliminarlos, mueva los ficheros en los que detecte bicho, a un directorio de cuarentena y apague el ordenador y al arrancar ya no los pondrá em uso, y su antivirus o antispyware deberá poder eliminarlos
Además. el Q-HOST le habrá alterado el fichero HOSTS. O lo limpia manualmente eliminando las entradas malware. o utilice para ello el ELISTARA:
ELISTARA:
saludos
ms, 26-08-2005
y tras ello mops cuenta el resultado como resìesta de este Tema, gracias
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
no sulucionado
DESPUES DE PONER EL ARCHIVO "CLASSLOAD [1].JAR" EN UN ARCHIVO, SIGUE DETECTANDOME EL TR/DLRD.OPENCONN.F.PROCEDO A BORRAR EL ARCHIVO, PASAR EL ELISTARA, Y, PARECE QUE VA MAS RAPIDO INTERNET,PERO AL METERME POR PRIMERA VEZ EN VUETRA PAGINA, ME SIGUE DETECTANDO UN "TR" QUE LO BORRA EL ANTIVIRUS. TIENE ALGO QUE VER ESTO CON LO ANTERIOR?
TE MANDO EL INFORME DEL ANTIVIRUS Y EL HIJAKTHIS:
Creation date of the report file: Martes, 30 de Agosto de 2005 06:54
AntiVir®/9x PersonalEdition Classic
Build 1047 vom 07.06.2005
Mainprogram 6.31.00.03 of 10.05.2005
VDF file 6.31.1.159 (0) of 22.08.2005
This program is for PERSONAL USE only.
Any other use is PROHIBITED.
Informations regarding commercial versions of AntiVir may be obtained from:
http://www.hbedv.com .
Scanning for 206672 virus strains and unwanted programs.
Licensed for: AntiVir Personal Edition
Serial number: 0000149996-WURGE-0001
Please enter the workstation and
contact name with phone number in this form:
Name ___________________________________________
Street ___________________________________________
Town ___________________________________________
Phone/Fax ___________________________________________
Email ___________________________________________
Platform: Windows 98
Windows version: 4.10.2222 A
Computername: J0F4J9
Processor: Pentium
Working memory: 163288 KB free
Version information:
AVWIN.DLL : 6.31.00.03 561192 07.06.2005 11:34:48
AVEWIN32.DLL : 6.31.1.0 823808 25.07.2005 06:23:56
SYS_RW16.DLL : 6.19.0 12800 25.10.2004 12:33:28
SYS_RW32.DLL : 6.19.0 16384 25.10.2004 12:33:28
AVGCTRL.EXE : 6.31.00.03 114743 07.06.2005 11:34:48
AVGUARD.VXD : 6.31.1.0 540775 25.07.2005 06:23:56
AVPACK32.DLL : 6.31.00.03 323664 07.06.2005 11:34:48
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:20
AVWIN.DLL : 6.31.00.03 561192 07.06.2005 11:34:48
AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 17:10:22
AVSched32.EXE : 6.30.00.00 110632 01.02.2005 10:24:10
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:24:10
AVREG.DLL : 6.30.00.03 41000 10.02.2005 17:47:48
AVRep.DLL : 6.31.01.150 1290280 23.08.2005 08:01:52
INETUPD.EXE : 6.31.00.02 249915 07.06.2005 11:34:50
INETUPD.DLL : 6.31.00.02 143360 07.06.2005 11:34:48
MFC42.DLL : 6.00.8447.0 995383 05.05.1999 22:22:00
MSVCRT.DLL : 6.10.8924.0 290869 04.05.2001 13:05:02
CTL3D32.DLL : 2.31.000 45056 05.05.1999 22:22:00
CTL3DV2.DLL : 2.31.000 27632 05.05.1999 22:22:00
Configuration file:
Name of configuration file: C:\ARCHIVOS DE PROGRAMA\AVPERSONAL\AVWIN.INI
Name of report file: C:\ARCHIVOS DE PROGRAMA\AVPERSONAL\LOGFILES\AVWIN.LOG
Start path: C:\ARCHIVOS DE PROGRAMA\AVPERSONAL
Command line:
Start mode: unknown
Mode of report file:
[ ] Do not create report
[X] Overwrite report
[ ] Append new report
Data in report file:
[X] Infected files
[ ] Infected files with paths
[ ] All scanned files
[ ] Full information
Abridge report file:
[ ] Abridge report file
Warnings in report:
[X] Access denied/file locked
[X] Wrong file size in directory
[X] Wrong creation time in directory
[ ] COM file is too large
[X] Invalid start address
[X] Invalid EXE header
[X] Possibly damaged
Summary report:
[X] Create summary report
Output file: AVWIN.ACT
Maximum number of entries: 100
Where to search:
[X] Memory
[X] Boot record of selected drives
[ ] Report unknown boot sectors
[ ] All files
[X] Program files
Extensions: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP
Response in case of a detection:
[X] Repair with prompt
[ ] Repair without prompt
[ ] Delete with prompt
[ ] Delete without prompt
[ ] Write in report file only
[X] Acoustic alarm
Response in case of destroyed files:
[X] Delete with prompt
[ ] Delete without prompt
[ ] Ignore
Response in case of destroyed files:
[X] No change
[ ] Current system time
[ ] Correct date
Drag&drop settings:
[X] Scan subdirectories
Profile settings:
[X] Scan subdirectories
Archive options
[X] Search archive
[X] All archive types
Miscellaneous options:
Temporary path: %TEMP% -> C:\ARCHIVOS DE PROGRAMA\AVPERSONAL\BUILD.DAT
[X] Overwrite infected files
[ ] Detect idle time
[X] Allow interruptions of scan
[X] Load AVWin®/9x Guard on System start
General settings:
[X] Save options on exiting AntiVir
Priority: medium
Drives:
A: Floppy drive
C: Hard disk
Start of scan: Martes, 30 de Agosto de 2005 06:54
Memory test OK
Master boot record of hard disk HD0 OK
Boot record of drive C: OK
C:\WINDOWS\SYSTEM
rdsndin.exe
[DETECTION] Is the Trojan horse TR/Click.526
WAS DELETED!
C:\WINDOWS\Application Data\Spybot - Search & Destroy\Recovery
CWSWinSecurityCenter.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit1.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit2.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CoolWWWSearchService.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter1.zip
ArchiveType: ZIP
NOTE! No files to extract.
CWSWinSecurityCenter2.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter3.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter4.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter5.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter6.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter7.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter8.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter9.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
FindSpyA.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter10.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit3.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
FindSpyA1.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
Wareout.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CoolWWWSearchService1.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit4.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
C:\WINDOWS\Archivos temporales de Internet\Content.IE5\ZBPTDLPI
classload[1].jar
ArchiveType: ZIP
--> GetAccess.class
[DETECTION] Is the Trojan horse TR/ClassLder.c.Java
--> InsecureClassLoader.class
[DETECTION] Is the Trojan horse TR/Forten.Java.2.B
--> Dummy.class
[DETECTION] Is the Trojan horse TR/Forten.Java.2
--> Installer.class
[DETECTION] Is the Trojan horse TR/Dldr.OpenConn.F
C:\win98
DRIVER14.CAB
ArchiveType: CAB (Microsoft)
NOTE! The archive is created by multiple volumes
WIN98_69.CAB
ArchiveType: CAB (Microsoft)
NOTE! The archive is created by multiple volumes
End of scan: Martes, 30 de Agosto de 2005 07:09
Time taken: 14:54 min
738 directories were scanned
25332 files were scanned
0 warning messages were issued
1 file was deleted
0 files were repaired
5 detections
HIJAKTHIS:
Scan saved at 08:08:53 a.m., on 30/08/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.03.0000.1005\ES\MSNAPPAU.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\ARCHIVOS DE PROGRAMA\AVPERSONAL\AVGCTRL.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\ES\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\ES\MSNTB.DLL
O4 - HKLM\..\Run: [AVGCtrl] C:\ARCHIVOS DE PROGRAMA\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\ARCHIVOS DE PROGRAMA\SINESPIAS\no-spy.exe /autorun
O4 - HKCU\..\Run: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\RunServices: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: TruePass LocalEPF 6,0,200,81 -https://tp.seg-social.es/TruePassSample/applets/entrusttruepassapplet-localepf.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = auna.es
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.198,85.255.112.12
GRACIAS, ESPERO RESPUESTA
TE MANDO EL INFORME DEL ANTIVIRUS Y EL HIJAKTHIS:
Creation date of the report file: Martes, 30 de Agosto de 2005 06:54
AntiVir®/9x PersonalEdition Classic
Build 1047 vom 07.06.2005
Mainprogram 6.31.00.03 of 10.05.2005
VDF file 6.31.1.159 (0) of 22.08.2005
This program is for PERSONAL USE only.
Any other use is PROHIBITED.
Informations regarding commercial versions of AntiVir may be obtained from:
Scanning for 206672 virus strains and unwanted programs.
Licensed for: AntiVir Personal Edition
Serial number: 0000149996-WURGE-0001
Please enter the workstation and
contact name with phone number in this form:
Name ___________________________________________
Street ___________________________________________
Town ___________________________________________
Phone/Fax ___________________________________________
Email ___________________________________________
Platform: Windows 98
Windows version: 4.10.2222 A
Computername: J0F4J9
Processor: Pentium
Working memory: 163288 KB free
Version information:
AVWIN.DLL : 6.31.00.03 561192 07.06.2005 11:34:48
AVEWIN32.DLL : 6.31.1.0 823808 25.07.2005 06:23:56
SYS_RW16.DLL : 6.19.0 12800 25.10.2004 12:33:28
SYS_RW32.DLL : 6.19.0 16384 25.10.2004 12:33:28
AVGCTRL.EXE : 6.31.00.03 114743 07.06.2005 11:34:48
AVGUARD.VXD : 6.31.1.0 540775 25.07.2005 06:23:56
AVPACK32.DLL : 6.31.00.03 323664 07.06.2005 11:34:48
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:20
AVWIN.DLL : 6.31.00.03 561192 07.06.2005 11:34:48
AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 17:10:22
AVSched32.EXE : 6.30.00.00 110632 01.02.2005 10:24:10
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:24:10
AVREG.DLL : 6.30.00.03 41000 10.02.2005 17:47:48
AVRep.DLL : 6.31.01.150 1290280 23.08.2005 08:01:52
INETUPD.EXE : 6.31.00.02 249915 07.06.2005 11:34:50
INETUPD.DLL : 6.31.00.02 143360 07.06.2005 11:34:48
MFC42.DLL : 6.00.8447.0 995383 05.05.1999 22:22:00
MSVCRT.DLL : 6.10.8924.0 290869 04.05.2001 13:05:02
CTL3D32.DLL : 2.31.000 45056 05.05.1999 22:22:00
CTL3DV2.DLL : 2.31.000 27632 05.05.1999 22:22:00
Configuration file:
Name of configuration file: C:\ARCHIVOS DE PROGRAMA\AVPERSONAL\AVWIN.INI
Name of report file: C:\ARCHIVOS DE PROGRAMA\AVPERSONAL\LOGFILES\AVWIN.LOG
Start path: C:\ARCHIVOS DE PROGRAMA\AVPERSONAL
Command line:
Start mode: unknown
Mode of report file:
[ ] Do not create report
[X] Overwrite report
[ ] Append new report
Data in report file:
[X] Infected files
[ ] Infected files with paths
[ ] All scanned files
[ ] Full information
Abridge report file:
[ ] Abridge report file
Warnings in report:
[X] Access denied/file locked
[X] Wrong file size in directory
[X] Wrong creation time in directory
[ ] COM file is too large
[X] Invalid start address
[X] Invalid EXE header
[X] Possibly damaged
Summary report:
[X] Create summary report
Output file: AVWIN.ACT
Maximum number of entries: 100
Where to search:
[X] Memory
[X] Boot record of selected drives
[ ] Report unknown boot sectors
[ ] All files
[X] Program files
Extensions: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP
Response in case of a detection:
[X] Repair with prompt
[ ] Repair without prompt
[ ] Delete with prompt
[ ] Delete without prompt
[ ] Write in report file only
[X] Acoustic alarm
Response in case of destroyed files:
[X] Delete with prompt
[ ] Delete without prompt
[ ] Ignore
Response in case of destroyed files:
[X] No change
[ ] Current system time
[ ] Correct date
Drag&drop settings:
[X] Scan subdirectories
Profile settings:
[X] Scan subdirectories
Archive options
[X] Search archive
[X] All archive types
Miscellaneous options:
Temporary path: %TEMP% -> C:\ARCHIVOS DE PROGRAMA\AVPERSONAL\BUILD.DAT
[X] Overwrite infected files
[ ] Detect idle time
[X] Allow interruptions of scan
[X] Load AVWin®/9x Guard on System start
General settings:
[X] Save options on exiting AntiVir
Priority: medium
Drives:
A: Floppy drive
C: Hard disk
Start of scan: Martes, 30 de Agosto de 2005 06:54
Memory test OK
Master boot record of hard disk HD0 OK
Boot record of drive C: OK
C:\WINDOWS\SYSTEM
rdsndin.exe
[DETECTION] Is the Trojan horse TR/Click.526
WAS DELETED!
C:\WINDOWS\Application Data\Spybot - Search & Destroy\Recovery
CWSWinSecurityCenter.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit1.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit2.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CoolWWWSearchService.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter1.zip
ArchiveType: ZIP
NOTE! No files to extract.
CWSWinSecurityCenter2.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter3.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter4.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter5.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter6.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter7.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter8.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter9.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
FindSpyA.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CWSWinSecurityCenter10.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit3.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
FindSpyA1.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
Wareout.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
CoolWWWSearchService1.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit4.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
C:\WINDOWS\Archivos temporales de Internet\Content.IE5\ZBPTDLPI
classload[1].jar
ArchiveType: ZIP
--> GetAccess.class
[DETECTION] Is the Trojan horse TR/ClassLder.c.Java
--> InsecureClassLoader.class
[DETECTION] Is the Trojan horse TR/Forten.Java.2.B
--> Dummy.class
[DETECTION] Is the Trojan horse TR/Forten.Java.2
--> Installer.class
[DETECTION] Is the Trojan horse TR/Dldr.OpenConn.F
C:\win98
DRIVER14.CAB
ArchiveType: CAB (Microsoft)
NOTE! The archive is created by multiple volumes
WIN98_69.CAB
ArchiveType: CAB (Microsoft)
NOTE! The archive is created by multiple volumes
End of scan: Martes, 30 de Agosto de 2005 07:09
Time taken: 14:54 min
738 directories were scanned
25332 files were scanned
0 warning messages were issued
1 file was deleted
0 files were repaired
5 detections
HIJAKTHIS:
Scan saved at 08:08:53 a.m., on 30/08/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.03.0000.1005\ES\MSNAPPAU.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\ARCHIVOS DE PROGRAMA\AVPERSONAL\AVGCTRL.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\ES\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\ES\MSNTB.DLL
O4 - HKLM\..\Run: [AVGCtrl] C:\ARCHIVOS DE PROGRAMA\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\ARCHIVOS DE PROGRAMA\SINESPIAS\no-spy.exe /autorun
O4 - HKCU\..\Run: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\RunServices: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: TruePass LocalEPF 6,0,200,81 -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = auna.es
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.198,85.255.112.12
GRACIAS, ESPERO RESPUESTA
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Para eliminacion de los spywares DSO exploit, CoolWebSearch, y demás, siga las instrucciones de nuestro tutorial, y con el SPYBOT u AD_AWARE Podrá eliminarlos:
https://foros.zonavirus.com/viewtopic.php?t=4795
Luego lance un antivirus ONLINE para comprobar que no tenga ningun otro virus:
https://www.virustotal.com/es/
y sobre el log del HJT:
Estas claves hay qUe eliminarlas, lanzando el HJT . marcandolas y FIX
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O4 - HKLM\..\Run: [stnospy] C:\ARCHIVOS DE PROGRAMA\SINESPIAS\no-spy.exe /autorun
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: TruePass LocalEPF 6,0,200,81 -https://tp.seg-social.es/TruePassSample/applets/entrusttruepassapplet-localepf.c
Y como que las 015 PROTOcOL DEFAuLTS se resistiran al borrado, y conviene quitarlas para tener seguridad en la nevagacion, tras ello baJAR LA NUEVA VERSION 10.17 DEL ELISTARA y ejecutarla, la cual eliminará la reaiz de estas claves.
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
saludos
ms, 30-08-2005
Luego lance un antivirus ONLINE para comprobar que no tenga ningun otro virus:
y sobre el log del HJT:
Estas claves hay qUe eliminarlas, lanzando el HJT . marcandolas y FIX
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O4 - HKLM\..\Run: [stnospy] C:\ARCHIVOS DE PROGRAMA\SINESPIAS\no-spy.exe /autorun
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: TruePass LocalEPF 6,0,200,81 -
Y como que las 015 PROTOcOL DEFAuLTS se resistiran al borrado, y conviene quitarlas para tener seguridad en la nevagacion, tras ello baJAR LA NUEVA VERSION 10.17 DEL ELISTARA y ejecutarla, la cual eliminará la reaiz de estas claves.
ELISTARA:
saludos
ms, 30-08-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
no solucionado
DESPUES DE PASARLE TODOS LOS AV. Y SPW, PUEDO NAVEGAR CON SOLTURA, PERO SIGUE DANDOME UN MENSAJE EN INGLES DE QUE EL PC TIENE VIRUS Y SI ALGUNO QUE COJA EL PC LE DA A ACEPTAR YA ME INSTALA OTRA VEZ LOS MISMOS TROYANOS.
EL ELISTARA NO TERMINA DE IR BIEN, O SEA, QUE SE ME QUEDA COLGADO.
EL ANTIVIRUS ONLINE ME DETECTO UN ARCHIVO EN LA CARPETA WINDOWS/HELP, DESPUES DE ELIMINARLO, Y AL REINICIAR, SIGUE EL MENSAJE ESTE DE WINDOWS SECURITY CENTER.
EL ANTIVIRUS NO ME DETECTA NADA NI EL SPIBOT.
GRACIAS POR TODO
EL ELISTARA NO TERMINA DE IR BIEN, O SEA, QUE SE ME QUEDA COLGADO.
EL ANTIVIRUS ONLINE ME DETECTO UN ARCHIVO EN LA CARPETA WINDOWS/HELP, DESPUES DE ELIMINARLO, Y AL REINICIAR, SIGUE EL MENSAJE ESTE DE WINDOWS SECURITY CENTER.
EL ANTIVIRUS NO ME DETECTA NADA NI EL SPIBOT.
GRACIAS POR TODO
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
[quote="ramaser"[PERO SIGUE DANDOME UN MENSAJE EN INGLES DE QUE EL PC TIENE VIRUS Y SI ALGUNO QUE COJA EL PC LE DA A ACEPTAR YA ME INSTALA OTRA VEZ LOS MISMOS TROYANOS.
/quote]
Pues haga un copiar y pegar de este texto y nos lo pega en su proximno postm como resùesta de este Tema
y lance otra vez el antivirus ONLINE y en su proximo post indiquenos tambien el nombre del virus que ha detectado y en qué fichero y ruta
saludos
ms, 09-09-2005
/quote]
Pues haga un copiar y pegar de este texto y nos lo pega en su proximno postm como resùesta de este Tema
y lance otra vez el antivirus ONLINE y en su proximo post indiquenos tambien el nombre del virus que ha detectado y en qué fichero y ruta
saludos
ms, 09-09-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
DESPUES DE PASAR EL ANTIVIRUS ONLINE
EN PRIMER LUGAR, PERDONA POR LA TARDANZA.
DESPUES DE PASAR EL ANTIVIRUS ON LINE, ESTO ME SALE:
Resultados de la exploración 11144 files scanned. 3 viruses were detected.
Archivo Infección Estado Ruta
SPAlert.chm HTML.Bloon.V infected C:\WINDOWS\HELP\
DC0.CHM HTML.Bloon.V infected C:\RECYCLED\
q573211.exe Win32.DlMersting!generic infected, no cure C:\
SEGUNDA EXPLORACION:
Resultados de la exploración 11140 files scanned. 5 viruses were detected.
Archivo Infección Estado Ruta
pskavs.dll Year 1992/2 deleted C:\WINDOWS\SYSTEM\ActiveScan\
engine9xe_h.zip>ave32.exe Win95.SK deleted C:\Archivos de programa\AVPersonal\UPDATE\
engine9xe_h.zip>avewin32.dll Win95.SK cannot cure C:\Archivos de programa\AVPersonal\UPDATE\
AVEWIN32.DLL Win95.SK deleted C:\Archivos de programa\AVPersonal\FAILSAVE\
AVEWIN32.DLL Win95.SK deleted C:\Archivos de programa\AVPersonal\
Y ESTE ES EL MENSAJE QUE ME SALE EN UNA VENTANA QUE NO PUEDO COPIAR:
WINDOWS SECURITY CENTER
WARNING WINDOWS FIREWALL DETECTED SUSPICIUS NETWORW ON YOUR COMPUTER.
MALICIUS SOFWARE CODES TRY TO STEAL YOUR PRIVACY INFORMATION, SOCH AS CREDIT CAR NUMBERS , ELECTRONIC MAIL ACCOUNTS, FINANCILA DATA OR PASSWORDS.
YES NO
YO LE DOY A CERRAR VENTANA ( X ) AUNQUE ME VUEVE A SALIR,
PERO ANTES DE ESTO YA ME HA SALIDO EN LA BARRA DE HERRAMIENTAS UN ESCUDO AMARILLO COMO EL DE WINDOWS FIREWALL PERO EL MENSAJE ES EN INGLES. EL S.O. ES W98 2ª E
GRACIAS POR VUESTRA AYUDA
DESPUES DE PASAR EL ANTIVIRUS ON LINE, ESTO ME SALE:
Resultados de la exploración 11144 files scanned. 3 viruses were detected.
Archivo Infección Estado Ruta
SPAlert.chm HTML.Bloon.V infected C:\WINDOWS\HELP\
DC0.CHM HTML.Bloon.V infected C:\RECYCLED\
q573211.exe Win32.DlMersting!generic infected, no cure C:\
SEGUNDA EXPLORACION:
Resultados de la exploración 11140 files scanned. 5 viruses were detected.
Archivo Infección Estado Ruta
pskavs.dll Year 1992/2 deleted C:\WINDOWS\SYSTEM\ActiveScan\
engine9xe_h.zip>ave32.exe Win95.SK deleted C:\Archivos de programa\AVPersonal\UPDATE\
engine9xe_h.zip>avewin32.dll Win95.SK cannot cure C:\Archivos de programa\AVPersonal\UPDATE\
AVEWIN32.DLL Win95.SK deleted C:\Archivos de programa\AVPersonal\FAILSAVE\
AVEWIN32.DLL Win95.SK deleted C:\Archivos de programa\AVPersonal\
Y ESTE ES EL MENSAJE QUE ME SALE EN UNA VENTANA QUE NO PUEDO COPIAR:
WINDOWS SECURITY CENTER
WARNING WINDOWS FIREWALL DETECTED SUSPICIUS NETWORW ON YOUR COMPUTER.
MALICIUS SOFWARE CODES TRY TO STEAL YOUR PRIVACY INFORMATION, SOCH AS CREDIT CAR NUMBERS , ELECTRONIC MAIL ACCOUNTS, FINANCILA DATA OR PASSWORDS.
YES NO
YO LE DOY A CERRAR VENTANA ( X ) AUNQUE ME VUEVE A SALIR,
PERO ANTES DE ESTO YA ME HA SALIDO EN LA BARRA DE HERRAMIENTAS UN ESCUDO AMARILLO COMO EL DE WINDOWS FIREWALL PERO EL MENSAJE ES EN INGLES. EL S.O. ES W98 2ª E
GRACIAS POR VUESTRA AYUDA
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Despues de esto vuelve a pasar tu antivirus y vuelve a pegarnos un log de hijackthis.
Mira tambien si en agregar o quitar programas tienes algo extraño.
Saludos
maura63
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Despues de esto vuelve a pasar tu antivirus y vuelve a pegarnos un log de hijackthis.
Mira tambien si en agregar o quitar programas tienes algo extraño.
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)