| baloo |  |
|
2007-06-28 02:33 - Respuestas: 17 - Tema nº: 2454860
bueno encerio les agradesco mucho el tiempod dedicado , y les comento las novedades ....
en primera le pase el karpersky online y realizo su analisis sin problema , pero he aqui lo curioso , solo detecto como archivos infectados estos ....
C:\Documents and Settings\usuario\.housecall6.6\Quarantine\crtdcghcn.jar-4f071e52-742fdf12.zip.bac_a01836/BaaaaBaa.class Infectados: Trojan.Java.ClassLoader.ao saltado
C:\Documents and Settings\usuario\.housecall6.6\Quarantine\crtdcghcn.jar-4f071e52-742fdf12.zip.bac_a01836/VaaaaaaaBaa.class Infectados: Trojan.Java.ClassLoader.ao saltado
C:\Documents and Settings\usuario\.housecall6.6\Quarantine\crtdcghcn.jar-4f071e52-742fdf12.zip.bac_a01836/Baaaaa.class Infectados: Trojan.Java.ClassLoader.ao saltado
C:\Documents and Settings\usuario\.housecall6.6\Quarantine\crtdcghcn.jar-4f071e52-742fdf12.zip.bac_a01836 ZIP: infectado - 3 saltado
C:\Documents and Settings\usuario\.housecall6.6\Quarantine\crtdcghcn.jar-4f071e52-742fdf12.zip.bac_a01836 CryptFF.b: infectado - 3 saltado
si no me equivoco no son mas que archivos puestos en cuarentena por trendmicro pero no creo que ninguno de esos pudiera estar activo o si? de todos modos procedere a eliminarlos y les comento mañana por que ya salgo del trabajo.
y tambien mañana paso al programa que me recomiendas rahel y te comento
gracias , saludos y hasta mañana | |
|
|
| baloo | |
|
Re: Creo que es un virus .... - 2007-06-28 19:12 - Respuesta 12
bueno, finalmente he escaneado la maquina con el SUPERAntispyware y me ha arrojados 2 "infecciones" pero no creo que sean ma que restos de navegacion, son los siguientes .....
usuario (Prohibido poner emails)portal.112.0o7(1).txt
y
usuario@tribalfusion(2).txt
ya con todos lo programas que le he pasado a esta maquina , en modo normal o modo seguro empieso apensar que se trata de un falso positivo del housecall .. pero entonces que probocaria que cuando me detecta esas infecciones me cierre la vetana ?
bueno , are una prueba mas haber si con los cambios que he hecho se completa el analisis y les comento ls novedades ..
saludos y gracias de nuevo.
| |
|
|
| baloo | |
|
Re: Creo que es un virus .... - 2007-06-28 19:47 - Respuesta 13
bueno , por alguna razon , el spybot cuando lo corri ayer no me detecto nada fuera de lo normal como rastros de navegacion , pero hoy me ha detectado lo siguiente ....
KingHomeLogger: Configuración (Clave del registro, nothing done)
HKEY_USERS\S-1-5-21-1708537768-1284227242-839522115-1003\Software\Keylogger King Software
KingHomeLogger: Configuración (Clave del registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Keylogger King Software
Smitfraud-C.FakeAlert: Clase raíz (Clave del registro, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\AdfGHost.Cli
MyWay.MyWebSearch: Configuración (Clave del registro, nothing done)
HKEY_USERS\S-1-5-21-1708537768-1284227242-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA}
MyWay.MyWebSearch: Configuración (Clave del registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}
FunWebProducts: ID de clase (Clave del registro, nothing done)
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}
DoubleClick: Cookie de seguimiento (Firefox: default) (Cookie, nothing done)
WebTrends live: Cookie de seguimiento (Firefox: default) (Cookie, nothing done)
quiero suponer que la razon de que no lo detecte se deva a las modificaciones que hise ayer en el registro cmo les comentaba.
bueno procedo a eliminarlos y les comento si ya me sirve el house call
saludos
| |
|
|
| baloo | |
|
Re: Creo que es un virus .... - 2007-06-28 20:17 - Respuesta 14
bueno con la novedad de que mi problema sigue a pesar de que he eliminado alguno de los bichos que me detectava el housecall seme sigue cerrando al iniciar el analisis , pero esta ves antes de cerrarse me detecto algo mas ...
adware_marketscore
y solo ese.
bueno despues de aliminar lo que me mostro spbs&d he hecho una limpiesa con el ccleaner y con regseeker y aqui les dejo el log del HijackThis .....
Logfile of HijackThis v1.99.1
Scan saved at 01:09:24 p.m., on 28/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe
D:\e-MORELI@\Control.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
D:\lalo\hijackthis_sfx\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mx.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://mx.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mx.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://mx.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://mx.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mx.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://mx.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://mx.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://mx.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Yahoo! Servicios - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {9C024426-7859-4B2D-AB4C-B1E370AE7549} - http://mx.mcafee.com/Apps/WSC/es-mx/WscWlanScannerCtrl.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - (no file)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
| |
|
|
| ruedas |  |
|
Re: Creo que es un virus .... - 2007-06-28 20:27 - Respuesta 15
Hola baloo
Descarga este programa:
*SmitfraudFix
Descomprime el archivo, y ejecuta: SmitfraudeFix.cmd.
Selecciona la opcion 2
y responde a todo con yes.
para salir pulsa la Q.
Guarda el informe y nos lo pones
saludos | |
|
|
|
