Virus Messenger photo.zip - Foro de Spyware

Buscar

		Foro de Spyware » Spyware - Adware - Hijackers - Malwares » Foro de Virus y Spywares
Virus Messenger photo.zip

Para evitar Virus, Spyware y otros Malwares, te recomendamos mantenerte informado en: InfoSpyware Blog

Foro de Virus y Spywares Ayuda con: Malwares - Virus - Spywares - Troyanos - Adwares - Worms - Hijackers - Dialers - Rootkits - Keylogger - etc.) Plantéanos tu problema en este sector.
No ponga su log de HijackThis aquí !!

Enviar a:

Herramientas

post #1

11/10/08, 10:19:47

falik

Usuario

Registrado: jun 2006

Ubicación: España

Mensajes: 3

Virus Messenger photo.zip

Buenas estoy liado haciendo a un amigo mio por remoto una limpieza de este virus.

En modo a prueba de fallos le he quitado la opcion de restaurar sistema.

He pasado el MSN Cleaner eliminando solo 1 archivo en C:\ instalarmessenger.exe o algo asi se llamaba.
Le he pasado el superantispyware y no ha encontrado nada grave.
El malwareantybytes tampoco ha encontrado nada.
He limpiado temporales con el CCleaner.

He usado el sdfix y este es su report.

SDFix: Version 1.234
Run by eduardo on 11/10/2008 at 14:59

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\Documents and Settings\eduardo\Favoritos\Videos.url - Deleted
C:\Documents and Settings\eduardo\Men£ Inicio\Programas\Videos.url - Deleted
C:\DOCUME~1\eduardo\CONFIG~1\Temp\photo.zip - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-11 15:07:50
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

C:\Documents and Settings\cristian\fsppea.exe [1852] 0x81E368D8

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\BTHPORT\Parameters\Keys\00805a20575d]
"001a16df6fa7"=hex:8b,f5,d3,5a,00,fc,00,41,1b,d7,3 7,84,5f,e8,da,7b
"00124761e1ba"=hex:92,2c,03,fb,a9,b7,2d,3b,97,77,d 6,9a,83,2c,e7,98
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\B THPORT\Parameters\Keys\00805a20575d]
"001a16df6fa7"=hex:8b,f5,d3,5a,00,fc,00,41,1b,d7,3 7,84,5f,e8,da,7b
"00124761e1ba"=hex:92,2c,03,fb,a9,b7,2d,3b,97,77,d 6,9a,83,2c,e7,98

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 1
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"="C:\\Archivos de programa\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Archivos de programa\\eMule\\emule.exe"="C:\\Archivos de programa\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Archivos de programa\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Archivos de programa\\Yahoo!\\Messenger\\YahooMessenger.exe"=" C:\\Archivos de programa\\Yahoo!\\Messenger\\YahooMessenger.exe:*: Enabled:Yahoo! Messenger"
"C:\\Archivos de programa\\Yahoo!\\Messenger\\YServer.exe"="C:\\Arc hivos de programa\\Yahoo!\\Messenger\\YServer.exe:*:Enabled :Yahoo! FT Server"
"C:\\Documents and Settings\\cristian\\Configuraci¢n local\\Temp\\Rar$DI01.344\\photo1226.jpeg-www.myspace.com"="C:\\Documents and Settings\\cristian\\Configuraci¢n local\\Temp\\Rar$DI01.344\\photo1226.jpeg-www.myspace.com:*:Enabled:ENABLE"
"C:\\WINDOWS\\system32\\tpowco.exe"="C:\\WINDOWS\\ system32\\tpowco.exe:*:Enabled:ENABLE"
"C:\\Documents and Settings\\cristian\\fsppea.exe"="C:\\Documents and Settings\\cristian\\fsppea.exe:*:Enabled:ENABLE"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Fri 3 Oct 2008 6,108,728 A..H. --- "C:\Archivos de programa\Picasa2\setup.exe"
Tue 7 Oct 2008 19,456 ...H. --- "C:\Documents and Settings\cristian\fsppea.exe"
Sun 7 Sep 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Finished!

a ver si me podeis ayudar porque aun parece que tiene el virus.

InfoSpyware

post #2

11/10/08, 10:50:31

M@co

Warrior

Registrado: dic 2007

Ubicación: Guayana - Venezuela

Mensajes: 7.079

Re: Virus Messenger photo.zip

Hola falik.

Realiza lo siguente:

1.- Descarga OTMoveIt3 (beta) by OldTimer en el escritorio.

Doble clic en OTMoveIt3.exe para ejecutarlo

Pega en siguiente script bajo el area "Paste Instructions for items to be Moved".

Código:

:reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"C:\Documents and Settings\cristian\fsppea.exe"=-
"C:\WINDOWS\system32\tpowco.exe"=-
"C:\Documents and Settings\cristian\Configuracion local\Temp\Rar$DI01.344\photo1226.jpeg-www.myspace.com"=-

:files
C:\Documents and Settings\cristian\fsppea.exe
C:\WINDOWS\system32\tpowco.exe
C:\Documents and Settings\cristian\Configuracion local\Temp\Rar$DI01.344\photo1226.jpeg-www.myspace.com

:commands
[EmptyTemp]

Asegurate que esté marcada la casilla "unregister Dll´s and Ocx´s" y desmarcada "Zip Files After Move".
Presiona el boton rojo MoveIt!
OTMI3 puede pedir que reinicie la máquina. Por favor, hazlo si lo pide.
Copiar / Pegar el contenido que está debajo de la línea "Results" aquí, en su próxima respuesta.
Si no puede copiar / pegar desde esta ventana (como sería el caso si la máquina se reinicia);
- Abre el Bloc de notas (Inicio-> Todos los Programas-> Accesorios-> Bloc de notas),
- Haz clic en Archivo-> Abrir, en la casilla "Nombre del archivo" introduce *.log y pulsa la tecla Enter,
- Ve a la carpeta C: \ _OTMoveIt \ MovedFiles y abre el archivo .log mas reciente;
- Copiar / pegar el contenido del documento aquí en el próximo post.

2.- Realiza un analisis completo con Panda ActiveScan 2.0.

- Pega los reportes de Panda y OtMoveIt3.

Salu2!.

Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog

* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

post #3

20/11/08, 11:48:08

noratandil noratandil está offline

Usuario

Registrado: ago 2008

Ubicación: Tandil

Mensajes: 2

Re: Virus Messenger photo.zip (no sé si lo sacó... este es el regitro)

========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list not found.
Registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list not found.
Registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list not found.
========== FILES ==========
File/Folder C:\Documents and Settings\cristian\fsppea.exe not found.
File/Folder C:\WINDOWS\system32\tpowco.exe not found.
File/Folder C:\Documents and Settings\cristian\Configuracion local\Temp\Rar$DI01.344\photo1226.jpeg-www.myspace.com not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\ADMINI~1.NOR\CONFIG~1\Temp\$62194BDC.t $m scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\ADMINI~1.NOR\CONFIG~1\Temp\etilqs_fCLL 7HgdwiXeMOtw49Mk scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Administrador.nora\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l1py2urq.default \Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrador.nora\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l1py2urq.default \Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrador.nora\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l1py2urq.default \Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrador.nora\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l1py2urq.default \Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrador.nora\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l1py2urq.default \urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrador.nora\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l1py2urq.default \urlclassifier3.sqlite-journal scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrador.nora\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l1py2urq.default \XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.

OTMoveIt3 by OldTimer - Version 1.0.7.1 log created on 11202008_133735

Files moved on Reboot...
File C:\DOCUME~1\ADMINI~1.NOR\CONFIG~1\Temp\etilqs_fCLL 7HgdwiXeMOtw49Mk not found!
C:\Documents and Settings\Administrador.nora\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l1py2urq.default \Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Administrador.nora\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l1py2urq.default \Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Administrador.nora\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l1py2urq.default \Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Administrador.nora\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l1py2urq.default \Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Administrador.nora\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l1py2urq.default \urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Administrador.nora\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l1py2urq.default \XUL.mfl moved successfully.
File C:\DOCUME~1\ADMINI~1.NOR\CONFIG~1\Temp\$62194BDC.t $m not found!
File C:\Documents and Settings\Administrador.nora\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l1py2urq.default \urlclassifier3.sqlite-journal not found!

post #4

20/11/08, 11:51:32

M@co

Warrior

Registrado: dic 2007

Ubicación: Guayana - Venezuela

Mensajes: 7.079

Re: Virus Messenger photo.zip

Buenas.

¿falik y noratandil son el mismo usuario con cuentas distintas?.

___________

Importante:

post #5

20/11/08, 12:17:44

noratandil noratandil está offline

Usuario

Registrado: ago 2008

Ubicación: Tandil

Mensajes: 2

Re: Virus Messenger photo.zip

No, soy una usuaria independiente.

post #6

20/11/08, 14:11:03

M@co

Warrior

Registrado: dic 2007

Ubicación: Guayana - Venezuela

Mensajes: 7.079

Re: Virus Messenger photo.zip

Hola noratandil bienvenida al Foro de Infospyware.com

Cita:

Originalmente publicado por noratandil

No, soy una usuaria independiente.

Debes abrir un tema especificando los síntomas del funcionamiento del ordenador, las herramientas que has usado y si tienes un reporte de algún antivirus online lo pegas.

Importante:

« Tema Anterior | Próximo Tema »

Herramientas
Mostrar Versión Imprimible Enviar por Correo

Reglas del foro
No puedes crear nuevos temas No puedes responder temas No puedes subir adjuntos No puedes editar tus mensajes BB code is activado Las caritas están activado Código [IMG] está activado Código HTML está desactivado Trackbacks are desactivado Pingbacks are activado Refbacks are activado Políticas del foro

Temas Similares

Tema	Autor	Foro	Respuestas	Último mensaje
Windows Antivirus... (solucionado)	donmister	Temas Solucionados	24	06/10/08 21:45:23
ventanas emergentes de Internet explorer..(Solucionado)	misbel	Temas Solucionados	9	21/05/07 16:40:00
P2P-Worm.Win32.VB.dw	tav	Foro de Virus y Spywares	5	20/01/07 14:01:29
un virus superinteligente no me da opciones	serlop73	Temas Solucionados	5	15/01/07 21:37:35
Smitfraud - Procesador saturado y pop-ups de falso Messenger indicando fallas	gus296	Foro Oficial de HijackThis en español	11	28/11/06 12:54:26

Todas las horas son GMT -4. La hora es 15:35:32.

InfoSpyware es miembro de ASAP - Alliance of Security Analysis Professionals

Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus