PDA

Ver la versión completa : Ayuda con OCT spammer



soen
23-05-2008, 22:43
Bueno antes que nada gracias por esta gran comunidad que es fabulosa, ahora que entre a la universidad ya no tenia tiempo para estar en internet.

Pues tengo un problema hace poco atraves de una memoria usb mi computadora se infecto con una aplicacion, troyano, o no se que sea que es molesta al abrir una carpeta me abre una ventana y si en esa ventana hay otra carpeta y quiero abrirla me abre otra ventana y asi y al final termino abriendo un buen de ventanas. osea si la carpeta que quiero esta en C:\Documents and Settings\Propietario\Mis documentos\Mi música\Spanish

Al llegar a esa carpeta ya se abrieron 5 ventanas y pues buscaba ayuda pues no quiero formmatear mi pC Asi se llama OCT spammer. gracias

mimasol
23-05-2008, 22:57
La verdad no he encontrado info sobre ese virus o spyware..quiza ese no sea el nombre real..Con que lo has detectado?

Antes que nada deshabilita restaurar sistema,destilda ocultar archivos del sistema y pasa el hijackthis a modo de prueba de fallos.
Postea el log asi tenemos una vision mas clara si?

saludos
Mimasol

soen
24-05-2008, 00:09
AQUI ESTA LA IMAGEN

http://s1.subirimagenes.com/imagen/previo/thump_512648dibujo.jpg (http://www.subirimagenes.com/imagen-dibujo-512648.html)

Para Ver La Imagen Mejor Despues Del Link Le Dan Click Derecho Y Ver Imagen Y Sale Mejor La Imagen

mimasol
24-05-2008, 00:37
Busca antes de nada en desinstalar programas que alli debe estar la aplicación..postea el log como ya te dije y no postees tantas veces lo mismo.
(por la imagen que has puesto en offtopic)


Saludos
Mimasol

soen
24-05-2008, 18:48
Busca antes de nada en desinstalar programas que alli debe estar la aplicación..postea el log como ya te dije y no postees tantas veces lo mismo.
(por la imagen que has puesto en offtopic)


Saludos
Mimasol

Ahora si este es el HiJackThis en modo a prueba de errores

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:58:30, on 28/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Propietario\Mis documentos\hijackthhis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t1msn.com.mx/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Archivos de programa\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Archivos de programa\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Archivos de programa\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - Startup: Hare.lnk = C:\Archivos de programa\Dachshund Software\Hare\Hare.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk.disabled
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199492696578
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199492819593
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Archivos de programa\cFosSpeed\spd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe

--
End of file - 4944 bytes



La verdad espero tu ayuda no eh encontrado nada relacionado con el programa. esta es la pagina de los creadores espero la puedas checar ahi dice que solo formateando espero no sea cierto http://oficc3control.blogspot.com/2008/05/una-mentes-brillante.html

mimasol
24-05-2008, 19:11
Vamos hacer esto bien..antes que nada el programa hijackthis debe tener una carpeta especifica para el.
Has escaneado a modo de prueba de fallos ?
Tenes el programa tune up en tu pc o en algun momento lo has tenido instalado?
En agregar y quitar programas no ves ningun programa que no hayas instalado o relacionado a la aplicacion?

Scanea con ewido, vuelve a escanear con hijackthis desde su carpeta recorda a modo prueba de fallos y que se vean los archivos ocultos..a ver si limpiamos tu pc ;) .

Ewido (http://www.ewido.net/en/onlinescan/)

Saludos
Mimasol

vertigo2k8
02-06-2008, 21:06
He aqui otra solución para el OCT Spammer y fue obtenida de takumi y tagami quienes pasaron una noche en vela para obtener esta solucion, esperemos funcione a todos los que tengan el malware. Saludos

************************************************** ******************************************

Como madrear el virus OCT que modifica el menu contextual de nuestras carpetas en windows XP

pop up -->http://oficc3blog........

************************************************** ******************************************

NOTA IMPORTANTE LEE TODO ESTE MANUAL ANTES DE INICIAR!!!!!!!!!!1
DESCARGA mata_virus_amvo_usb.vbs del sitio de MyGeekSide
http://www.mygeekside.com/?p=14

1.- elimina la restauracion de sistema de windows XP

2.- desinstala programas extraños recientemente instalados

3.- ejecuta el archivo mata_virus_amvo_usb.vbs (elimina un componente de dicho problema)

4.- ejecuta el comando regedit y una vez ahi dirigete ala siguiente direccion

HKEY_CLASSES_ROOT/Directory/shell

dale doble click ala opcion predeterminada y ponle el valor "none"

5.- PASO IMPORTANTE:despues hay que abrir la carpeta HKEY_CLASSES_ROOT/Directory/shell/OCT/command ,ahi podremos ver referencias de OCT, aqui es importante
darse cuenta de en que carpeta esta almacenado el archivo exe y con que nombre en mi caso era services.exe y estaba en la carpeta C:/WINDOWS/Cursors en
modo oculto asi que para generalizar guardamos esta direccion y despues procedemos a localizar el exe y eliminarlo manualmente


despues elimina el registro HKEY_CLASSES_ROOT/Directory/shell/command para que lo usen de guia en mi caso solo quedaron dentro de shell
find y onenote.open

6.- desde este momento ya no deberia aparecer el pop up en la barra de tareas pero reincia para cualquier duda



NOTA DEL CREADOR:Esta reparacion funciono en mi propio ordenador asi que no me hago responsable de tu ordenador si esto no es correcto
asi que solo sigue estas instrucciones bajo tu propio riesgo.

hystd
02-06-2008, 21:33
Vaya parece más fácil de lo que a simple vista parece ser... Y yo pensando ya en lo peor que si drivers, que si modo kernel, blabla... solo a mi se me ocurren estas macabras historias xD


aqui es importante
darse cuenta de en que carpeta esta almacenado el archivo exe y con que nombre en mi caso era services.exe y estaba en la carpeta C:/WINDOWS/Cursors

Viendo que crea un servicio con el mismo nombre del servicio que tiene el SO, ni siquiera cabe pensar que hace inyección de código...

Muy buena info.

Un saludo

mimasol
02-06-2008, 22:37
;) muy buena info habria que pasarla por mp a los que estan pidiendo en el blog del ¿creador? de esta aplicación para que les digan como quitarlo..

No hay crimen perfecto ;)

PD:Clarin te has salvado por poco :D

Saludos
Mimasol

clarinetista
02-06-2008, 23:53
Mygeekside, de nuevo, quedaos con el , es un crack.

soen
03-06-2008, 00:28
He aqui otra solución para el OCT Spammer y fue obtenida de takumi y tagami quienes pasaron una noche en vela para obtener esta solucion, esperemos funcione a todos los que tengan el malware. Saludos

************************************************** ******************************************

Como madrear el virus OCT que modifica el menu contextual de nuestras carpetas en windows XP

pop up -->http://oficc3blog........

************************************************** ******************************************

NOTA IMPORTANTE LEE TODO ESTE MANUAL ANTES DE INICIAR!!!!!!!!!!1
DESCARGA mata_virus_amvo_usb.vbs del sitio de MyGeekSide
http://www.mygeekside.com/?p=14

1.- elimina la restauracion de sistema de windows XP

2.- desinstala programas extraños recientemente instalados

3.- ejecuta el archivo mata_virus_amvo_usb.vbs (elimina un componente de dicho problema)

4.- ejecuta el comando regedit y una vez ahi dirigete ala siguiente direccion

HKEY_CLASSES_ROOT/Directory/shell

dale doble click ala opcion predeterminada y ponle el valor "none"

5.- PASO IMPORTANTE:despues hay que abrir la carpeta HKEY_CLASSES_ROOT/Directory/shell/OCT/command ,ahi podremos ver referencias de OCT, aqui es importante
darse cuenta de en que carpeta esta almacenado el archivo exe y con que nombre en mi caso era services.exe y estaba en la carpeta C:/WINDOWS/Cursors en
modo oculto asi que para generalizar guardamos esta direccion y despues procedemos a localizar el exe y eliminarlo manualmente


despues elimina el registro HKEY_CLASSES_ROOT/Directory/shell/command para que lo usen de guia en mi caso solo quedaron dentro de shell
find y onenote.open

6.- desde este momento ya no deberia aparecer el pop up en la barra de tareas pero reincia para cualquier duda



NOTA DEL CREADOR:Esta reparacion funciono en mi propio ordenador asi que no me hago responsable de tu ordenador si esto no es correcto
asi que solo sigue estas instrucciones bajo tu propio riesgo.




Muchas gracias la verdad me elimino este malware es que era realmente molesto y pues de nuevo gracias por tomarse el tiempo en contestar este post pense que la iba a formatear:rolleyes::rolleyes::rolleyes::rolleyes:: rolleyes::rolleyes:

mimasol
04-06-2008, 21:54
Cerramos..


Saludos
Mimasol