Ventana intrusa de Windows Live Messenger (Solucionado)

Buscar

		Foro de Spyware » Spyware - Adware - Hijackers - Malwares » Temas Solucionados
Ventana intrusa de Windows Live Messenger (Solucionado)

Para evitar Virus, Spyware y ventanas emergentes, en InfoSpyware recomendamos navegar con: FIREFOX

Temas Solucionados Casos de HijackThis y Malwares resueltos.
(Solo lectura)

Página 1 de 2

Herramientas

post #1 (permalink)

05/08/08, 21:39:38

tutapower

Usuario

Registrado: mar 2006

Ubicación: Argentina

Mensajes: 7

Ventana intrusa de Windows Live Messenger (Solucionado)

Se trata de una ventana de inicio de sesión de Live Messenger en portugués que aparece apenas inicio sesión y no puedo cerrarla de ninguna forma (mejor dicho, la cierro pero queda minimizada en la barra de tareas). El problema apareció cuando abrí un e-mail de una amiga de Brasil y como un tonto abrí un archivo que parecia ser de fotos o algo así.
El cambio que noté en mi sistema es que no me permite ejecutar el Administrador de Tareas de windows.
El AVG y el Kasperski online no detectó ningún virus y hasta ahí llego con mis conocimientos.

Solicito vuestra ayuda para solucionar este problema, desde ya muchas gracias.

Última edición por tutapower fecha: 05/08/08 a las 21:47:01.

post #2 (permalink)

05/08/08, 22:07:46

anleg_30

Colaborador

Registrado: dic 2007

Ubicación: B@rc3l0n@ - Venezuela

Mensajes: 3.408

re: Ventana intrusa de Windows Live Messenger (Solucionado)

Que tal tutapower, Bienveni@ al Foro

Consejos para antes de publicar un nuevo mensaje

Politicas de InfoSpyware

A.-Descarga y descomprime el archivo MsnCleaner.zip

B.-Descarga e instala SDFix@AndyMachesta+Manuall

1.-Desactiva restaurar sistema
2.-Entra en modo seguro

Utilizar el programa MSNCleaner.exe de la siguiente manera:
- Ejecutar el archivo MSNCleaner.exe
- Activa la Casilla. "Habilitar ad. de tareas, Panel de Control............
- Haz Clic en el botón Analizar, Si se detecta algún archivo nocivo, se activará el botón Eliminar
- Seleccionar las opciones "Eliminar archivos temporales" y "Restaurar el archivo Hosts"
- Haz Clic en el botón Eliminar

Ejecuta SDFix@AndyMachesta como indica su manual:

Código:

Abra la carpeta C:\SDFix y hágale doble-clic sobre el archivo "RunThis.bat" 

.
 En la pantalla en modo MS-DOS (modo con símbolo del sistema), teclea "Y" (Yes) para empezar la ejecución del programa. Aparecerá una ventana mostrando los siguientes textos:
Please wait...
"Checking Running Processes"
"Checking Running Services"
 Cuando haya terminado, presiona cualquier tecla para reiniciar  nota: Notarás que el sistema tardará algo más en reiniciar. Esto es normal.
 Espera unos minutos para completar la desinfeccion, Por último, aparecerá la ventana "The FixTool has finished".Presiona cualquier tecla para finalizar el script
ubica el reporte "report.txt" en la carpeta C:\SDFix y lo pegas aqui

3.-Reiniciar en modo normal y ejecuta el CCcleaner <Leer_manual>en su modo de limpiador y luego en la opcion de registro (realizando su respectiva copia de seguridad)

C.-Realiza un Scan Online con el Panda ActiveScan+Manualy pega el reporte que genere envolviendolo con la etiqueta CODE #

Regresa con los reportes e indicame como esta el paciente

Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog

* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !!
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

Última edición por anleg_30 fecha: 05/08/08 a las 22:10:40.

post #3 (permalink)

06/08/08, 01:36:46

tutapower

Usuario

Registrado: mar 2006

Ubicación: Argentina

Mensajes: 7

re: Ventana intrusa de Windows Live Messenger (Solucionado)

He realizado al pie de la letra los pasos indicados pero, tanto MnsCleaner como el SDFix no han hallado ningun virus o amenaza. El chequeo on line de Panda sí encontró algunas cosas.
Pego a continuación los reportes.

SDFix

Código:

SDFix: Version 1.213 
Run by Pedro on 05/08/2008 at 11:35 p.m.

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File
Restoring Missing Security Center Service 

Rebooting


Checking Files : 

No Trojan Files Found






Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-05 23:45:29
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"="C:\\Archivos de programa\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\WINDOWS\\system32\\yqr.exe"="C:\\WINDOWS\\system32\\yqr.exe:*:Enabled:ENABLE"
"C:\\Documents and Settings\\Administrador\\edwym.exe"="C:\\Documents and Settings\\Administrador\\edwym.exe:*:Enabled:ENABLE"
"C:\\Archivos de programa\\AVG\\AVG8\\avgupd.exe"="C:\\Archivos de programa\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"
"C:\\Archivos de programa\\AVG\\AVG8\\avgemc.exe"="C:\\Archivos de programa\\AVG\\AVG8\\avgemc.exe:*:Enabled:avgemc.exe"
"C:\\Archivos de programa\\uTorrent\\utorrent.exe"="C:\\Archivos de programa\\uTorrent\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"="C:\\Archivos de programa\\Bonjour\\mDNSResponder.exe:*:Disabled:Bonjour"
"C:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE:*:Disabled:Microsoft Office Groove"
"C:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Disabled:Microsoft Office OneNote"
"C:\\Archivos de programa\\FlashGet\\flashget.exe"="C:\\Archivos de programa\\FlashGet\\flashget.exe:*:Enabled:Flashget"
"C:\\WINDOWS\\system32\\yqo6192.exe"="C:\\WINDOWS\\system32\\yqo6192.exe:*:Enabled:C:\\WINDOWS\\system32\\yqo6192.exe"
"C:\\WINDOWS\\system32\\ikp992.exe"="C:\\WINDOWS\\system32\\ikp992.exe:*:Enabled:C:\\WINDOWS\\system32\\ikp992.exe"
"C:\\WINDOWS\\system32\\vuo5706.exe"="C:\\WINDOWS\\system32\\vuo5706.exe:*:Enabled:C:\\WINDOWS\\system32\\vuo5706.exe"
"C:\\WINDOWS\\system32\\bcb4977.exe"="C:\\WINDOWS\\system32\\bcb4977.exe:*:Enabled:C:\\WINDOWS\\system32\\bcb4977.exe"
"C:\\WINDOWS\\system32\\gxi1366.exe"="C:\\WINDOWS\\system32\\gxi1366.exe:*:Enabled:C:\\WINDOWS\\system32\\gxi1366.exe"
"C:\\WINDOWS\\system32\\nql9000.exe"="C:\\WINDOWS\\system32\\nql9000.exe:*:Enabled:C:\\WINDOWS\\system32\\nql9000.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"="C:\\Archivos de programa\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :



Files with Hidden Attributes :

Thu 31 Jul 2008             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu 31 Jul 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7564047df60fd0079d87159ef3eed933\BIT8.tmp"
Thu 31 Jul 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT9.tmp"
Fri  2 May 2008     3,493,888 A..H. --- "C:\Documents and Settings\Pedro\Datos de programa\U3\temp\Launchpad Removal.exe"
Thu 31 Jul 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7cec08ea193ed8fcd315e4c04adc234b\download\BIT19.tmp"
Thu 31 Jul 2008     1,198,480 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a923b37341853b1770caa734ad5e7001\download\BIT11.tmp"
Thu 31 Jul 2008   121,311,710 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e650de8ab93e003b9a6a17224a8c8ddd\download\BIT18.tmp"

Finished!

Panda online

Código:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-08-06 01:21:01
PROTECTIONS: 0
MALWARE: 6
SUSPECTS: 12
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00047467  Trj/Qhost.gen                      Virus/Trojan        No        0         Yes            No           C:\WINDOWS\system32\drivers\etc\BackupHosts.bak
00139535  Application/Processor              HackTools           No        0         No             No           E:\Documentos\PEDRO\Mis documentos\SEGURIDAD PC\SDFix.exe[SDFix\apps\Process.exe]
00139535  Application/Processor              HackTools           No        0         Yes            No           C:\SDFix\apps\Process.exe
02334952  Bck/Iroffer.BR                     Virus/Trojan        No        1         Yes            No           E:\Documentos\ALEJANDRO\Mis documentos\Mis imágenes\Aleshi\Flash\Terraco-v08.exe
02927964  HackTool/MSNpass.G                 HackTools           No        0         Yes            No           E:\Documentos\ALEJANDRO\Mis documentos\tsmmensajes.exe
03009106  W32/Xor-encoded.A                  Virus               No        0         Yes            No           E:\Documentos\PEDRO\Configuración local\Datos de programa\BitTorrent DNA\Cache\9F111E9F8FCC45D9FCD0FA9C2ADC63C2F4BE0A81
03268117  Spyware/Virtumonde                 Spyware             No        1         Yes            No           E:\WINDOWS\system32\nqgssiho.dll
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              
;===================================================================================================================================================================================
No        C:\WINDOWS\system32\fnw3822.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       
No        c:\windows\system32\uaq3844.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       
No        C:\WINDOWS\system32\bcb4977.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       
No        C:\WINDOWS\system32\calc.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          
No        C:\WINDOWS\system32\fnw3822.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       
No        C:\WINDOWS\system32\gxi1366.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       
No        C:\WINDOWS\system32\ikp992.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        
No        C:\WINDOWS\system32\nql9000.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       
No        C:\WINDOWS\system32\Tools\Restart.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                 
No        C:\WINDOWS\system32\uaq3844.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       
No        C:\WINDOWS\system32\vuo5706.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       
No        C:\WINDOWS\system32\yqo6192.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                
;===================================================================================================================================================================================
  184380  MEDIUM     MS08-002                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  184379  MEDIUM     MS08-001                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  182048  HIGH       MS07-069                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  182046  HIGH       MS07-067                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  182043  HIGH       MS07-064                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  179553  HIGH       MS07-061                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  176382  HIGH       MS07-057                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  176383  HIGH       MS07-058                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  170907  HIGH       MS07-046                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  170906  HIGH       MS07-045                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  170904  HIGH       MS07-043                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  164915  HIGH       MS07-035                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  164913  HIGH       MS07-033                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  164911  HIGH       MS07-031                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  160623  HIGH       MS07-027                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  157262  HIGH       MS07-022                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  157261  HIGH       MS07-021                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  157260  HIGH       MS07-020                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  157259  HIGH       MS07-019                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  156477  HIGH       MS07-017                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  150253  HIGH       MS07-016                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  150249  HIGH       MS07-013                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  150248  HIGH       MS07-012                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  150247  HIGH       MS07-011                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  150243  HIGH       MS07-008                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  150242  HIGH       MS07-007                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  150241  MEDIUM     MS07-006                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
;===================================================================================================================================================================================

Quedo a la espera de vuestros comentarios y muchas gracias.

post #4 (permalink)

06/08/08, 09:36:59

tutapower

Usuario

Registrado: mar 2006

Ubicación: Argentina

Mensajes: 7

re: Ventana intrusa de Windows Live Messenger (Solucionado)

Agrego también un reporte de Malwarebytes:

Código:

Malwarebytes' Anti-Malware 1.24
Versión de la Base de Datos: 1028
Windows 5.1.2600 Service Pack 2

09:22:44 a.m. 06/08/2008
mbam-log-8-6-2008 (09-22-24).txt

Tipo de examen : Examen Completo (C:\|E:\|F:\|)
Objetos examinados: 161359
Tiempo transcurrido: 6 hour(s), 1 minute(s), 22 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 2
Carpetas Infectadas: 0
Ficheros Infectados: 3

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\Documents and Settings\Administrador\Datos de programa\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> No action taken.
E:\RECYCLER\S-1-5-21-343818398-823518204-725345543-500\De1943\Cuentas Personales\CP.ESP (Backdoor.Bot) -> No action taken.
E:\WINDOWS\system32\nqgssiho.dll (Trojan.Vundo) -> No action taken.

Saludos.

post #5 (permalink)

06/08/08, 17:50:26

anleg_30

Colaborador

Registrado: dic 2007

Ubicación: B@rc3l0n@ - Venezuela

Mensajes: 3.408

re: Ventana intrusa de Windows Live Messenger (Solucionado)

Hola de nuevo,

El SDFix encontro mas de lo que te inmaginas.

Primero, Sube estos archivos a Virus Total <Leer Manual> y dejame sus respectivos reportes obviando los detalles.

C:\WINDOWS\\system32\yqo6192.exe
C:\WINDOWS\system32\vuo5706.exe

Segundo, Desacarga OTMoveit2 + MANUAL

Tercero, Entra en modo seguro

Realiza lo Siguiente:

Inicio->ejecutar->escribe: %TEMP% ->selecciona y elimina todo
Panel de control->opcciones de internet->eliminar cookies y aceptas->ahora eliminar archivos->marca eliminar archivos sin conexion y aceptas

Si usas Firefox, Abre Firefox->menu herramientas->opcciones->pestaña avanzadas->Red->limpia la cache del firefox.
Ahora en el menu Privacidad->pulsa sobre mostrar cookies->elimina todas las cookies... cierra el firefox.
Vacia completamente tu pàpelera de reciclaje

Ejecuta la Herramienta OTMoveIt:

Haz doble clic sobre OTMoveIt.exe para ejecutarlo.
Asegurate que esté marcado "Unregister Dll's and Ocx's".
Copia el texto que te dejo en el recuadrado de abajo, y
pega el texto en el marco izquierdo de OTMoveIt2 llamado "Paste Standard List of Files / Folders to be Moved"

Código HTML:

C:\WINDOWS\system32\drivers\etc\BackupHosts.bak
E:\Documentos\ALEJANDRO\Mis documentos\tsmmensajes.exe
E:\Documentos\ALEJANDRO\Mis documentos\Mis imágenes\Aleshi\Flash\Terraco-v08.exe
E:\WINDOWS\system32\nqgssiho.dll
E:\Documentos\PEDRO\Configuración local\Datos de programa\BitTorrent DNA\Cache\9F111E9F8FCC45D9FCD0FA9C2ADC63C2F4BE0A81
C:\Documents and Settings\Pedro\Datos de programa\U3\temp\Launchpad Removal.exe
C:\Documents and Settings\Administrador\Datos de programa\Desktopicon\eBayShortcuts.exe
E:\RECYCLER\S-1-5-21-343818398-823518204-725345543-500\De1943

Pulsa sobre MoveIt!para lanzar la supresión.
Cuando el resultado aparezca en el marco Results, pulsa en Exit
Ahora Reinicia (muy importante para eliminar todo)
Se creará un reporte en C: \ _ OTMoveIt\MovedFiles lo
buscas y lo pegas aki

Regresa con esos tres reportes e indicame como esta el Sistema..........

post #6 (permalink)

06/08/08, 21:48:02

tutapower

Usuario

Registrado: mar 2006

Ubicación: Argentina

Mensajes: 7

re: Ventana intrusa de Windows Live Messenger (Solucionado)

Te dejo los reportes solicitados:

Código:

Análisis del archivo yqo6192.exe recibido el 07.08.2008 02:13:27 (CET)
Motor antivirus	Versión	Última actualización	Resultado
AhnLab-V3	2008.8.7.0	2008.08.06	-
AntiVir	7.8.1.19	2008.08.06	-
Authentium	5.1.0.4	2008.08.07	-
Avast	4.8.1195.0	2008.08.06	-
AVG	8.0.0.156	2008.08.06	-
BitDefender	7.2	2008.08.06	Generic.Banker.VB.AF3BD757
CAT-QuickHeal	9.50	2008.08.06	-
ClamAV	0.93.1	2008.08.06	-
DrWeb	4.44.0.09170	2008.08.06	-
eSafe	7.0.17.0	2008.08.06	Suspicious File
eTrust-Vet	31.6.6016	2008.08.06	-
Ewido	4.0	2008.08.06	-
F-Prot	4.4.4.56	2008.08.06	-
F-Secure	7.60.13501.0	2008.08.06	-
Fortinet	3.14.0.0	2008.08.06	-
GData	2.0.7306.1023	2008.08.06	-
Ikarus	T3.1.1.34.0	2008.08.07	-
K7AntiVirus	7.10.405	2008.08.06	-
Kaspersky	7.0.0.125	2008.08.07	-
McAfee	5355	2008.08.06	-
Microsoft	1.3807	2008.08.07	-
NOD32v2	3334	2008.08.07	a variant of Win32/Spy.Bancos.AJX
Norman	5.80.02	2008.08.06	-
Panda	9.0.0.4	2008.08.06	Suspicious file
PCTools	4.4.2.0	2008.08.06	-
Prevx1	V2	2008.08.07	-
Rising	20.56.22.00	2008.08.06	-
Sophos	4.31.0	2008.08.07	-
Sunbelt	3.1.1537.1	2008.08.06	-
Symantec	10	2008.08.07	-
TheHacker	6.2.96.393	2008.08.04	-
TrendMicro	8.700.0.1004	2008.08.06	-
VBA32	3.12.8.2	2008.08.06	suspected of Trojan-Spy.Bancos.8 (paranoid heuristics)
ViRobot	2008.8.6.1326	2008.08.06	-
VirusBuster	4.5.11.0	2008.08.06	-
Webwasher-Gateway	6.6.2	2008.08.06	Win32.Malware.gen#ASPack (suspicious)

Código:

Análisis del archivo vuo5706.exe recibido el 07.08.2008 02:37:32 (CET)
Motor antivirus	Versión	Última actualización	Resultado
AhnLab-V3	2008.8.7.0	2008.08.06	-
AntiVir	7.8.1.19	2008.08.06	-
Authentium	5.1.0.4	2008.08.07	-
Avast	4.8.1195.0	2008.08.06	-
AVG	8.0.0.156	2008.08.06	-
BitDefender	7.2	2008.08.06	Generic.Banker.VB.AF3BD757
CAT-QuickHeal	9.50	2008.08.06	-
ClamAV	0.93.1	2008.08.07	-
DrWeb	4.44.0.09170	2008.08.06	-
eSafe	7.0.17.0	2008.08.06	Suspicious File
eTrust-Vet	31.6.6016	2008.08.06	-
Ewido	4.0	2008.08.06	-
F-Prot	4.4.4.56	2008.08.06	-
F-Secure	7.60.13501.0	2008.08.06	-
Fortinet	3.14.0.0	2008.08.06	-
GData	2.0.7306.1023	2008.08.06	-
Ikarus	T3.1.1.34.0	2008.08.07	-
K7AntiVirus	7.10.405	2008.08.06	-
Kaspersky	7.0.0.125	2008.08.07	-
McAfee	5355	2008.08.06	-
Microsoft	1.3807	2008.08.07	-
NOD32v2	3334	2008.08.07	a variant of Win32/Spy.Bancos.AJX
Norman	5.80.02	2008.08.06	-
Panda	9.0.0.4	2008.08.06	Suspicious file
PCTools	4.4.2.0	2008.08.06	-
Prevx1	V2	2008.08.07	-
Rising	20.56.22.00	2008.08.06	-
Sophos	4.31.0	2008.08.07	-
Sunbelt	3.1.1537.1	2008.08.07	-
Symantec	10	2008.08.07	-
TheHacker	6.2.96.393	2008.08.04	-
TrendMicro	8.700.0.1004	2008.08.06	-
VBA32	3.12.8.2	2008.08.06	suspected of Trojan-Spy.Bancos.8 (paranoid heuristics)
ViRobot	2008.8.6.1326	2008.08.06	-
VirusBuster	4.5.11.0	2008.08.06	-
Webwasher-Gateway	6.6.2	2008.08.06	Win32.Malware.gen#ASPack (suspicious)
Información adicional
Tamano archivo: 182272 bytes
MD5...: e74513d59b5d2d8cd4ffce639f369c21
SHA1..: f0f7b6d8e03c0621362ddc4657cc64403276061a
SHA256: c7bb7e276787fe9f687ec6bc3ca5a6645638b901e416257a19e01861f38f8e24
SHA512: f9fde6b8748fbf749551902291ff7ac7a5d85846e6272bbb8d8f1c3ecbb454bb<br>b5023581504997ca4beec4ba2233ba77539e6268bd7feca323102385911b5140
PEiD..: ASPack v2.12
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4cd001<br>timedatestamp.....: 0x4897a7ae (Tue Aug 05 01:06:54 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0xc4000 0x2a600 8.00 fb1988032f8b8ebcf060256ba4b8a6e0<br>.data 0xc5000 0x7000 0x200 0.58 8968c4e30fdc2cd1e3ac0ba01f35cef4<br>.rsrc 0xcc000 0x1000 0x200 2.06 7bc43713fb2195a8518572d682a6a103<br>.aspack 0xcd000 0x2000 0x1800 5.17 57ae2cf03e92e574768f3fefd68dc33f<br>.adata 0xcf000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br><br>( 2 imports ) <br>&gt; kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA<br>&gt; msvbvm60.dll: EVENT_SINK_GetIDsOfNames<br><br>( 0 exports ) <br>
packers (F-Prot): Aspack
packers (Kaspersky): ASPack

Motor antivirus;Versión;Última actualización;Resultado
AhnLab-V3;2008.8.7.0;2008.08.06;-
AntiVir;7.8.1.19;2008.08.06;-
Authentium;5.1.0.4;2008.08.07;-
Avast;4.8.1195.0;2008.08.06;-
AVG;8.0.0.156;2008.08.06;-
BitDefender;7.2;2008.08.06;Generic.Banker.VB.AF3BD757
CAT-QuickHeal;9.50;2008.08.06;-
ClamAV;0.93.1;2008.08.07;-
DrWeb;4.44.0.09170;2008.08.06;-
eSafe;7.0.17.0;2008.08.06;Suspicious File
eTrust-Vet;31.6.6016;2008.08.06;-
Ewido;4.0;2008.08.06;-
F-Prot;4.4.4.56;2008.08.06;-
F-Secure;7.60.13501.0;2008.08.06;-
Fortinet;3.14.0.0;2008.08.06;-
GData;2.0.7306.1023;2008.08.06;-
Ikarus;T3.1.1.34.0;2008.08.07;-
K7AntiVirus;7.10.405;2008.08.06;-
Kaspersky;7.0.0.125;2008.08.07;-
McAfee;5355;2008.08.06;-
Microsoft;1.3807;2008.08.07;-
NOD32v2;3334;2008.08.07;a variant of Win32/Spy.Bancos.AJX
Norman;5.80.02;2008.08.06;-
Panda;9.0.0.4;2008.08.06;Suspicious file
PCTools;4.4.2.0;2008.08.06;-
Prevx1;V2;2008.08.07;-
Rising;20.56.22.00;2008.08.06;-
Sophos;4.31.0;2008.08.07;-
Sunbelt;3.1.1537.1;2008.08.07;-
Symantec;10;2008.08.07;-
TheHacker;6.2.96.393;2008.08.04;-
TrendMicro;8.700.0.1004;2008.08.06;-
VBA32;3.12.8.2;2008.08.06;suspected of Trojan-Spy.Bancos.8 (paranoid heuristics)
ViRobot;2008.8.6.1326;2008.08.06;-
VirusBuster;4.5.11.0;2008.08.06;-
Webwasher-Gateway;6.6.2;2008.08.06;Win32.Malware.gen#ASPack (suspicious)

Tengo la sospecha o casi la certeza de que hay mas archivos de este tipo el el system32, además estos archivos y otros parecidos aparecen en el firewall de windows como habilitados en excepciones, y los he desabilitado por las dudas.
Ahora voy a seguir con los otros pasos que me indicaste.
Muchas gracias.

Acá esta el reporte MoveIt! que faltaba:

Código:

C:\WINDOWS\system32\drivers\etc\BackupHosts.bak moved successfully.
File/Folder E:\Documentos\ALEJANDRO\Mis documentos\tsmmensajes.exe not found.
File/Folder E:\Documentos\ALEJANDRO\Mis documentos\Mis imágenes\Aleshi\Flash\Terraco-v08.exe not found.
LoadLibrary failed for E:\WINDOWS\system32\nqgssiho.dll
E:\WINDOWS\system32\nqgssiho.dll NOT unregistered.
File move failed. E:\WINDOWS\system32\nqgssiho.dll scheduled to be moved on reboot.
E:\Documentos\PEDRO\Configuración local\Datos de programa\BitTorrent DNA\Cache\9F111E9F8FCC45D9FCD0FA9C2ADC63C2F4BE0A81 moved successfully.
C:\Documents and Settings\Pedro\Datos de programa\U3\temp\Launchpad Removal.exe moved successfully.
C:\Documents and Settings\Administrador\Datos de programa\Desktopicon\eBayShortcuts.exe moved successfully.
Folder move failed. E:\RECYCLER\S-1-5-21-343818398-823518204-725345543-500\De1943 scheduled to be moved on reboot.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08062008_221000

Files moved on Reboot...
LoadLibrary failed for E:\WINDOWS\system32\nqgssiho.dll
E:\WINDOWS\system32\nqgssiho.dll NOT unregistered.
File move failed. E:\WINDOWS\system32\nqgssiho.dll scheduled to be moved on reboot.
Folder move failed. E:\RECYCLER\S-1-5-21-343818398-823518204-725345543-500\De1943 scheduled to be moved on reboot.

Si sirve de algo te comento que la ventana del messenger sigue apareciendo y el administrador de tareas sigue sin funcionar y tira el siguiente mensaje: "El Administrador de Tareas ha sido deshabilitado por un Administrador" igual que antes.
Cada vez que reinicio la pc me habilita como exepción uno o varios de esos archivos .exe en el firewall de windows.
Me fijé en el CCleaner Herramientas - Inicio y me parece que se cargan algunos programas extraños por ejemplo:
HKLM:Run SkyTel.exe Skytel.exe
HKLM:Run xmens32 C:\Windows\System32\dev8439.exe
HKLM:Run Avast C:\windows\System32\ley2603.exe

Gracias de nuevo

Última edición por tutapower fecha: 06/08/08 a las 22:45:38. Razón: Agregar reporteMoveIt! y agregar comentario

post #7 (permalink)

07/08/08, 01:27:49

anleg_30

Colaborador

Registrado: dic 2007

Ubicación: B@rc3l0n@ - Venezuela

Mensajes: 3.408

re: Ventana intrusa de Windows Live Messenger (Solucionado)

Hola tutapower, realiza lo siguiente Porfavor

1.-Entra en modo seguro (Debe ser en esta configuración)

Con el OTMoveit copia y suprime los siguientes archivos:

Código HTML:

C:\WINDOWS\system32\fnw3822.exe 
c:\windows\system32\uaq3844.exe
C:\WINDOWS\system32\bcb4977.exe
C:\WINDOWS\system32\fnw3822.exe 
C:\WINDOWS\system32\gxi1366.exe
C:\WINDOWS\system32\ikp992.exe 
C:\WINDOWS\system32\nql9000.exe
C:\WINDOWS\system32\Tools\Restart.exe
C:\WINDOWS\system32\uaq3844.exe 
C:\WINDOWS\system32\vuo5706.exe
C:\WINDOWS\system32\yqo6192.exe 
C:\WINDOWS\system32\yqr.exe

Reinicia el sitema, para que se puedan eliminar los archivos.

2.-Vuelve a entrar en Modo Seguro, Vacia la Papelera de Recyclaje y ejecuta con un examen completo MalwareBYtes al finalizar pulsas en Quitar todo lo Seleccionado" para eliminar lo conseguido y reinicias.

3.-Dejame un nuevo reporte del Panda y dime como va el PC...

post #8 (permalink)

07/08/08, 04:49:13

tutapower

Usuario

Registrado: mar 2006

Ubicación: Argentina

Mensajes: 7

re: Ventana intrusa de Windows Live Messenger (Solucionado)

Tengo buenas noticias!!!, la ventana del messenger trucho ya no aparece y el Administrador de Tareas funciona normalmente y no noté ninguna anomalía en el sistema. Lo único que quedaría por solucionar es lo que reporta el Panda online.

Código:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-08-07 04:31:36
PROTECTIONS: 0
MALWARE: 6
SUSPECTS: 19
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00047467  Trj/Qhost.gen                      Virus/Trojan        No        0         Yes            No           C:\_OTMoveIt\MovedFiles\08062008_221000\WINDOWS\system32\drivers\etc\BackupHosts.bak
00139535  Application/Processor              HackTools           No        0         No             No           E:\Documentos\PEDRO\Mis documentos\SEGURIDAD PC\SDFix.exe[E:\Documentos\PEDRO\Mis documentos\SEGURIDAD PC\SDFix.exe][SDFix\apps\Process.exe]
00139535  Application/Processor              HackTools           No        0         Yes            No           C:\SDFix\apps\Process.exe
02334952  Bck/Iroffer.BR                     Virus/Trojan        No        1         Yes            No           E:\RECYCLER\S-1-5-21-343818398-823518204-725345543-1004\De53.exe
02927964  HackTool/MSNpass.G                 HackTools           No        0         Yes            No           E:\Documentos\ALEJANDRO\Mis documentos\tsmmensajes.exe
03009106  W32/Xor-encoded.A                  Virus               No        0         Yes            No           C:\_OTMoveIt\MovedFiles\08062008_221000\Documentos\PEDRO\Configuración local\Datos de programa\BitTorrent DNA\Cache\9F111E9F8FCC45D9FCD0FA9C2ADC63C2F4BE0A81
03268117  Spyware/Virtumonde                 Spyware             No        1         Yes            No           E:\WINDOWS\system32\nqgssiho.dll
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              
;===================================================================================================================================================================================
Yes       C:\WINDOWS\system32\calc.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\Tools\Restart.exe                                                                                                                                                                                                                                                                                                                                                                                                                                            
Yes       C:\WINDOWS\system32\gke8671.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\aki7886.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                  
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\arq1974.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                  
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\bcb4977.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                  
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\fnw3822.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                  
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\gxi1366.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                  
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\hwx9467.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                  
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\ikp992.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                   
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\jmm9321.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                  
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\ley2603.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                  
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\nql9000.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                  
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\odi4197.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                  
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\oyc217.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                   
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\uaq3844.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                  
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\vuo5706.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                  
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\wnv5052.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                  
Yes       C:\_OTMoveIt\MovedFiles\08072008_020526\WINDOWS\system32\yqo6192.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                  
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                
;===================================================================================================================================================================================
  184380  MEDIUM     MS08-002                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  184379  MEDIUM     MS08-001                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  182048  HIGH       MS07-069                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  182046  HIGH       MS07-067                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  182043  HIGH       MS07-064                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  179553  HIGH       MS07-061                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  176382  HIGH       MS07-057                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  176383  HIGH       MS07-058                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  170907  HIGH       MS07-046                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  170906  HIGH       MS07-045                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  170904  HIGH       MS07-043                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  164915  HIGH       MS07-035                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  164913  HIGH       MS07-033                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  164911  HIGH       MS07-031                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  160623  HIGH       MS07-027                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  157262  HIGH       MS07-022                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  157261  HIGH       MS07-021                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  157260  HIGH       MS07-020                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  157259  HIGH       MS07-019                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  156477  HIGH       MS07-017                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  150253  HIGH       MS07-016                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  150249  HIGH       MS07-013                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  150248  HIGH       MS07-012                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  150247  HIGH       MS07-011                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  150243  HIGH       MS07-008                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  150242  HIGH       MS07-007                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
  150241  MEDIUM     MS07-006                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   
;===================================================================================================================================================================================

Estimado anleg_30 hasta ahora creo que vamos bien y te agradezco enormemente la ayuda que me estas ofreciendo y por el tiempo que le dedicas a solucionar problemas. Muchas gracias.
Quedo a la espera de tu comentario por lo del reporte Panda.

Saludos cordiales.

post #9 (permalink)

07/08/08, 14:58:50