ayuda con spam

Iniciado por RedZer, 2 Noviembre 2010, 21:19 PM

0 Miembros y 1 Visitante están viendo este tema.

RedZer

hola amigos necesito de su ayuda resulta que descarguee el metasploit bueno no estoy seguro que aya sido por eso pero el asunto es que tengo spam en mi compu osea ven esas lineas de abajo las url :( solitas me aparecen cada que escribo en un foro ya me banearon en forosdelweb por haber contestado un comentario y se agrego las url que estan ahi abajo me dijeron que me banearon por haber publicado span yo les juro que fue sin querer, ahora mi duda es como quito ese virus de mi compu ? no quiero formatear tengo antivirus el avast
Nacido y criado entre gente que enseño a pensar antes de creer a ciegas, Todo me causa curiosidad en el mundo

Novlucker

Ya lo he visto, y ya he censurado la url en el foro :xD

Te ocurre con todos los navegadores? Para poder filtrar algo de info

Podrías dejarnos un log de hijackthis y probar con Malwarebytes' Anti-Malware o SUPERAntiSpyware :P
Si algún link no te va, avisa, que pueden ser más pistas

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

RedZer

Cita de: Novlucker en  2 Noviembre 2010, 22:32 PM
Ya lo he visto, y ya he censurado la url en el foro :xD

Te ocurre con todos los navegadores? Para poder filtrar algo de info

Podrías dejarnos un log de hijackthis y probar con Malwarebytes' Anti-Malware o SUPERAntiSpyware :P
Si algún link no te va, avisa, que pueden ser más pistas

Saludos



ok amigo aque te refieres con que ya lo has visto?? osea que ya habias visto antes esa url o , te refieres ake los viste ahorita en mi comentario y lo sensuraste??? y pues solo uso el mozilla y esto me empeso asuceder desde que descargue el mestasploit, incluso el anitvirus me lo detecta como virus el metasploit es normal??? y pues esto lo dela url solo me pasa cuando escribo en un area de texto ni en el msn me sale esa url



Nacido y criado entre gente que enseño a pensar antes de creer a ciegas, Todo me causa curiosidad en el mundo

RedZer



aqui tedejo el log que me pediste amigo


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 1:38:51, on 03/11/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe
C:\Archivos de programa\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Archivos de programa\Alwil Software\Avast5\avastUI.exe
C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe
C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe
C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\Administrador\Datos de programa\fbx.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBL.EXE
C:\Archivos de programa\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe
C:\xampp\apache\bin\apache.exe
C:\Archivos de programa\FlvTube Toolbar\FlvTubeSvc.exe
C:\framework\postgresql\bin\pg_ctl.exe
C:\Archivos de programa\FlvTube Toolbar\FlvTubeVideoToMp3.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\LogMeIn\x86\LMIGuardianSvc.exe
C:\framework\postgresql\bin\postgres.exe
C:\xampp\mysql\bin\mysqld.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\framework\postgresql\bin\postgres.exe
C:\xampp\apache\bin\apache.exe
C:\framework\postgresql\bin\postgres.exe
C:\framework\postgresql\bin\postgres.exe
C:\framework\postgresql\bin\postgres.exe
C:\framework\postgresql\bin\postgres.exe
C:\Documents and Settings\Administrador\Escritorio\Adobe Dreamweaver CS3.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Windows\Temp\RarSFX0\Adobe Dreamweaver CS3.exe
C:\WINDOWS\system32\cmd.exe
C:\Windows\Temp\RarSFX0\Dreamweaver.exe
C:\Documents and Settings\Administrador\Escritorio\iexplore.exe
C:\Documents and Settings\Administrador\Escritorio\iexplore.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\Documents and Settings\Administrador\Escritorio\iexplore.exe
C:\Documents and Settings\Administrador\Mis documentos\Descargas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://flvtubesearch.co/?tmp=toolbar_FLVTube_homepage&prt=flvtubetb04ie&clid=3d468ceeaa1e4b0ebe43b9888a3a2cc6&subid=1395
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://flvtubesearch.co/?tmp=toolbar_FLVTube_homepage&prt=flvtubetb04ie&clid=3d468ceeaa1e4b0ebe43b9888a3a2cc6&subid=1395
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://flvtubesearch.co/?tmp=toolbar_FLVTube_homepage&prt=flvtubetb04ie&clid=3d468ceeaa1e4b0ebe43b9888a3a2cc6&subid=1395
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://flvtubesearch.co/?tmp=toolbar_FLVTube_homepage&prt=flvtubetb04ie&clid=3d468ceeaa1e4b0ebe43b9888a3a2cc6&subid=1395
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://flvtubesearch.co/?tmp=toolbar_FLVTube_homepage&prt=flvtubetb04ie&clid=3d468ceeaa1e4b0ebe43b9888a3a2cc6&subid=1395
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Brothersoft Toolbar - {e8de9422-3b2c-4243-bf6f-235da84d8ef8} - C:\Archivos de programa\Brothersoft\tbBrot.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\ConduitEngine.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SignatureManagerBHO - {C6CC9344-BC12-4EA7-9E37-46D61866C771} - C:\Archivos de programa\SM\SubsHelperBHO.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Brothersoft Toolbar - {e8de9422-3b2c-4243-bf6f-235da84d8ef8} - C:\Archivos de programa\Brothersoft\tbBrot.dll
O3 - Toolbar: Brothersoft Toolbar - {e8de9422-3b2c-4243-bf6f-235da84d8ef8} - C:\Archivos de programa\Brothersoft\tbBrot.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\ConduitEngine.dll
O3 - Toolbar: FlvTube Toolbar - {851552F5-B878-4b03-904F-2AD6A4CC8994} - "C:\Archivos de programa\FlvTube Toolbar\flvtubetb.dll" (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Archivos de programa\Archivos comunes\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Archivos de programa\Archivos comunes\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Archivos de programa\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [avast5] "C:\Archivos de programa\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [DivXUpdate] "C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [InstallMon] C:\Documents and Settings\Administrador\Datos de programa\fbx.exe
O4 - HKCU\..\Run: [EPSON TX110 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBL.EXE /FU "C:\WINDOWS\system32\config\SYSTEM~1\CONFIG~1\Temp\E_SE4.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: REALTEK USB Wireless LAN Utility.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Enviar a OneNote - res://c:\ARCHIV~1\MICROS~2\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://c:\ARCHIV~1\MICROS~2\Office14\EXCEL.EXE/3000
O9 - Extra button: (no name) - {755B05A7-0770-4185-B5F6-E75A2CA527E2} - C:\Archivos de programa\SM\SubsHelper.dll
O9 - Extra 'Tools' menuitem: Signature Manager options - {755B05A7-0770-4185-B5F6-E75A2CA527E2} - C:\Archivos de programa\SM\SubsHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/es/uno1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: FlvTube Toolbar Helper - Unknown owner - C:\Archivos de programa\FlvTube Toolbar\FlvTubeSvc.exe
O23 - Service: frameworkPostgreSQL - PostgreSQL Global Development Group - C:/framework/postgresql/bin/pg_ctl.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: LMIGuardianSvc - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\LMIGuardianSvc.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--
End of file - 12364 bytes














Nacido y criado entre gente que enseño a pensar antes de creer a ciegas, Todo me causa curiosidad en el mundo

Novlucker

Cuando dije que lo había visto, me refería a que en tu primer mensaje, tenías muchos links a esa web que comentas :xD
De donde bajaste el metasploit?
El Logmein supongo que es tuyo verdad, al igual que tienes una impresora Epson? Eso para confirmar nada más :P
Los raros:
CitarC:\Documents and Settings\Administrador\Datos de programa\fbx.exe
O4 - HKCU\..\Run: [InstallMon] C:\Documents and Settings\Administrador\Datos de programa\fbx.exe

Yo le daría FIX a eso, y paso uno de los antispyware que mencione antes

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

RedZer

Los raros:
CitarC:\Documents and Settings\Administrador\Datos de programa\fbx.exe
O4 - HKCU\..\Run: [InstallMon] C:\Documents and Settings\Administrador\Datos de programa\fbx.exe

Yo le daría FIX a eso, y paso uno de los antispyware que mencione antes

Saludos

[/quote]

aok amigo si esas mugres ligas se ponen auto cada que escribo :-\ en un foro  y de echo ya le estoy pasando el Malwarebytes' Anti-Malware y el mestasploit lo baje de su pagina oficial no recuerdo cual es , pero lo publicaron en este foro y pues el log mein si es mio yo lo instale y ahora con lo que mecionas de lo raro rebise la ruta y ese archivo es un ejecutable de visual basic ?? no tiene nada que hacer ahi verdad??
Nacido y criado entre gente que enseño a pensar antes de creer a ciegas, Todo me causa curiosidad en el mundo

RedZer



lo intente eliminar y no me deja me dice que esta protegido contra escritura  :-[ lo analize con el av "avast" y no enncontro amenesas

Nacido y criado entre gente que enseño a pensar antes de creer a ciegas, Todo me causa curiosidad en el mundo

Novlucker

:¬¬ ... sube ese archivo a virustotal.com y deja el enlace al reporte :D

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

RedZer

#8
http://www.virustotal.com/file-scan/report.html?id=a543b5afaf68115264b5a5ad4ab3af8d4a411971aa241ba8e59a4b9584134197-1288338674


ok amigo aki esta el enlace por lo que veo varios antivirus me lo detecto como virus el archivo que subi fue el de la aplicacion de visual basic
Nacido y criado entre gente que enseño a pensar antes de creer a ciegas, Todo me causa curiosidad en el mundo

Novlucker

Esta claro que es malware, inicia desde modo seguro y elimina el archivo ese, luego abre el editor de registro (inicio > ejecutar > regedit) y borra la clave que había puesto antes y que apunta al fbx.exe.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\InstallMon

Solo por si acaso, antes de borrarlo zippealo y pone contraseña, por si necesitaramos una copia :rolleyes:

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein