ataque/virus? yourgot.com/oms.php

[Philipsdect1]

Hola a todos.
Desde hace unos dias ando loco con un mensaje de mi antivirus:

ESET Smart Security
Address has been blocked
URL adress:
"yourgot.com/oms.php"
IP adress:
208.43.125.180:80

1/He pasado el antivirus a fondo sin resultado.
2/He pasado el FireWall a manual y he desactivado todas las conecciones para que me tengan que pedir permiso una a una para salir fuera. Entonces he desubirto el programa windows/system32/msa.exe que intentaba comunicarse con la susodicha IP. LE he cambiado el nombre de msa.exe a msaexe (sin el punto) pero el mensaje sigue saliendo.
3/ He reseteado varias veces el modem para cambiar de IP pero nada.

He ido a la web en cuestion y se trata de un sitio que te ofrecen seguiridad antiintrusismo o algo asi.

Alguien puede ayudarme por favor? Ya solo me queda el formateo.

Creo que este es el sitio adecuado para la consulta. Si no es asi pido disculpas.

Gracias anticipadas.

[RaidMan]

Tu antivirus esta bloqueando los intentos de conexion de ese programa a dicha IP.

Pasa un HijackThis y pega el LOG para ver que es lo que ha modificado.
Tal vez con el SpyBot Search & Destroy puedas eliminar este programa. Descargalo, instalalo y haz un escaner con el.



Por lo menos ya sabemos de que archivo se trata, eso facilita mucho la desinfeccion. Con el FileAssassin puedes borrar ciertos programas y archivos que no se dejan eliminar por tener un proceso abierto. Puedes probar con el a ver si te funciona.



Un saludo

[monge_jr]

a mi tambien me sucede lo mismo, he hecho lo que has dicho y aun sigue saliendo =( y con el fileassassin no se que hay que hacer, porque nose donde se encuentra el archivo ese.
otra cosa que me pasa tambien, esque el internet explorer no funciona como deberia, no te deja buscar nada y esta todo el rato recargando la pagina sin exito y recargando errores

[Philipsdect1]

RAidMan, ante todo muchisimas gracias por responder tan rapido.

He pasado el SpyBot. Me detectó unos cuantos malware y spyware. Los limpié pero sigue igual. Entonces lo configuré para que se ejecutara al reiniciar antes de cargar ninguna aplicación pero seguimos en las mismas.

Desactivé los puntos de restauración porque a veces los virus se quedan residentes y aunque los elimines vuelven a aparecer.

Pasé el HijackThis y repare todo lo que era reparable (aun corriendo el riesgo de que algo después ya no funcione del todo bien). Con todo eso el mesajito sigue saliendo.

Se te ocurre algo más? Ya es algo personal. Me niego a tener que formatear el ordenador. Primero me cargo el mensajito como sea.

Muchas gracias por tu ayuda.

[clarinetista]

Pasate algun antivirus online,vuelve a pasar las soluciones anti-malware en modo a prueba de fallos.
Tambien puedes usar ccleaner para limpiar temporales y quitar programas al inicio.

[keTzaL]

xD a mi me paso algo similar jejeje recuerdo que lo quite de la forma que menos te lo esperas y esque hace pufff habia instalado no se que programa y me venia con un spyware :S y entonces siempre al abrir el Firefox se me habria otra ventana de publicidad iwal lo pase por todos lados y nada hasta que un dia que estaba limpiando la pc xD en Panel de Control Desistalar programas y =O ahi estaba instalada esa madre xD tal vez mi experiencia te sirva xD o me oiga muy noob pero eso fue hace como 2 años xD Suerte con tu spyware piensa desde cuando aparecio y si fue desde que instalaste un programa empieza desde panel de control

[xl8]

Buenas;

A mi me acaba de pasar hoy mismo. Fue al ejecutar un archivo.exe llamado Crac_phototune2.45059.exe , el cual pesa 89KB y que me descargué del siguiente enlace;

http://timeddl.com/tag/photo-tune-2.html

Despues de descargarlo le pasé el antivirus y no me detectó nada por lo que decidí ejecutarlo. A partir de aquí ha empezado el dichoso mensajito cada 2 minutos aproximadamente el programa intenta conectarse a la ip remota en cuestión.

La verdad es que no me hace mucha gracia pensar que tengo un programa en mi pc que cada 2 minutos intenta conectarse a no se quien?. Espero que entre todos podamos solucionarlo ya que si no me veré obligado a formatear. Gogleando me he encontrado con este enlace con información de la amenaza en cuestión, lo pongo por si alguien se le ocurre como solucionar el problema ya que mis conocimientos de esto en una escala del 1 al 10 son -0.

http://www.threatexpert.com/report.aspx?md5=52caeaecba351d51243720aac3fe8f1d

Salu2.

P.D. Despues de ejecutar el .exe desapareció de la carpeta donde lo tenía y no tengo ni idea de donde se instaló.

He limpiado el registro con ccleaner, he borrado multitud de archivos creados y modificado mas o menos a la hora que ejecuté el supuesto troyano o virus y no he sido capaz de eliminarlo. Después he probado a restaurar sistema en modo seguro y tampoco me deja (sale un mensaje de restauracion imcompleta por no haber cambios). He eliminado un archivo que crea el virus en c/windows/system32/restore llamado rstrlog (archivo DAT) pero después aparece otra vez, creo que por eso no me deja restaurar sistema.

[laute]

Tengo exactamente el mismo virus y no se como sacarlo tampoco, si a alguien le sirve para poder ayudarme les dejo el log del hijackthis, cuento con su ayuda, muchas gracias

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
C:\Archivos de programa\Spyware Doctor\pctsSvc.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\Spyware Doctor\pctsTray.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Archivos de programa\Analog Devices\SoundMAX\smax4.exe
C:\Archivos de programa\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe
C:\Archivos de programa\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\McAfee Security Scan\1.0.150\SSScheduler.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Spyware Doctor\pctsGui.exe
C:\Documents and Settings\Lautaro\Escritorio\HijackThis.exe
C:\Archivos de programa\WinRAR\WinRAR.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Archivos de programa\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Archivos de programa\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\IEFlash.dll (file missing)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Archivos de programa\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [RaidTool] C:\Archivos de programa\VIA\RAID\raid_to
O4 - HKLM\..\Run: [PRONoMgrWired] C:\Archivos de programa\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Archivos de programa\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Global Startup: McAfee Security Scan.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{91C3E23A-0EBD-4CB0-A89D-4D35E98501B9}: NameServer = 200.63.155.188 200.63.155.60
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Archivos de programa\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Servicio de actualización de Google (gupdate1caa1fc55e113c8) (gupdate1caa1fc55e113c8) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe" /svc (file missing)
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

[polka]

Hola! mira a mi me sucedió algo parecido ...te recomeindo
ingresar al pc en "modo prueba de fallos o modo seguro" e instalar el ccleaner y hacer una limpieza general, luego te fijas en panel de control/ quitar o agregar programas y aliminas aquellos que ya no utilizas, después instalas algun antivirus que dejo a tu disposición y reempazas el antivirus que estás utilizando ahora! reinicas el sistema y listo!
en caso de que quieras recuperar algun archivo te dejo tambien el recuva.

espero poder ayudarte! saludos
polka

[j8k6f4v9j]

Hola polka1,

está prohibido publicar enlaces de descarga por nuevos usuarios.


Salu2

[xl8]

Buenas;

Yo lo pude solucionar con Malwarebytes Anti-Malware. El pc se quedó al 100%

Salu2.

[Roberto!!]

j8k6f4v9j

Yo creo que esa norma es algo tonteria y algo bueno,
Ya que si un iniciado puede ser iniciado en esta web porque igual es muy experto pero por otra parte puede que un iniciado intente joder otra computadora Pero Bueno, esta muy "Rigurosa.."

[mimasol]

Varias veces los enlaces de iniciados son dudosos.Fijate las fechas de los post no reabras post viejos...

Saludos
Mimasol.