La Pc marca se ha recuperado de un error grave...

Responder
Avatar de Usuario
efraingh
Mensajes: 109
Registrado: 16 Abr 2004, 01:53
Ubicación: Vz, Mx

La Pc marca se ha recuperado de un error grave...

Mensaje por efraingh » 04 Feb 2005, 21:32

Hola, pienso que esto es parte de otro problema no relacionado con los archivos que envie de muestra, aunque es la misma PC que menciono en el segundo Post que tenia una gran cantidad de malware y que no dejaba entrar en ninguna de las sesiones de usuario en modo normal, ahora ya lo hace, pero quedan detallitos que quiero ver si los puedo corregir, pero les dejo el link por si interesa:



https://foros.zonavirus.com/viewtopic.php?t=5237



Entonces, para empezar, se que la PC no tiene parches (aclarando que es de un amigo que no sabe mucho del uso de la pc) y eso es parte del problema, pero como que he leido que para aplicar parches primero hay que liberarla de virus y malware, ya que sino corre uno el riesgo de que el sistema no termine bien. Entonces me di a la tarea de limpiarla. Asi entonces, deshabilite restaurar sistema, inicie con cuenta administrador en prueba de fallos, pase las utilerias que menciono en el segundo post de envio de muestras aparte del elirpca y el elilsa (detectando sasser y dipnet), pase norton actualizado el cual detecto un trojan horse y lo puso en cuarentena (archivo con nombre idleUI.dll), despues pase: xcleaner, cwshredder, spybot 1.3.1 TX actualizado, al igual que ad-aware se 1.05.



Con el spybot y el adaware, me quedaron por eliminar segun antiespia el huntbar o ibis toolbar que son el mismo, aunque el xcleaner me marcaba ademas el websearch que no se ha podido eliminar.



Asi tambien he pasado el hijackthis en modo a prueba de fallos y modo normal, este log es de la sesion de un usuario con privilegios de admin en modo normal(aunque ese es otro detalle, tiene 2 usuarios registrados con privilegios de admin, pero cada uno no puede ver el contenido del la carpeta del otro usuario, pero cada uno puede ver el contenido de la carpeta del administrador, ahora que en prueba de fallos entro como administrador y no me permite ver el contenido de nunguno de los otros dos usuarios, algo que no me queda claro porque es eso, sera que algun espias o virus daño el sistema y por eso ocurra eso?) y como mencionaba mas arriba, al iniciar en modo normal con cualquiera de los dos usuarios me saltan a veces 2 o 4 veces ventanas que dice "windows se ha recuperado de un error grave", solo le doy no enviar y sigue el sistema corriendo normalmente. Aparentemente solo es en el inicio del sistema. De este log de hijackthis me parece raro la linea O20 - AppInit_DLLs: mad.dll, aunque le he dado eliminar se vuelve a poner, y asi he ido eliminado basura con el hijackthis pero en este punto ya no se que mas pueda eliminar, por eso lo pongo.



Logfile of HijackThis v1.99.0

Scan saved at 05:28:33 p.m., on 03/02/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\WINDOWS\System32\pctspk.exe

C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mm_tray.exe

C:\WINDOWS\System32\RunDll32.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\System32\ctfmon.exe

C:\descargas-antivirus\zonavirus\vx2\hijackthis\HijackThis199.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [sp] C:\sp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/2e529727a6ef04/housecall.antivirus.com/housecall/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll

O20 - AppInit_DLLs: mad.dll

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe



Tambien he usado el dllcompare ya que con el ad-aware manejaba que tenia el vx2 (better internet) teniendo el siguiente log:

* DLLCompare Log version()

Files Found that Windows does not See or cannot Access

*Not everything listed here means you are infected!

________________________________________________



O^E says: "There were no files found :)"

________________________________________________



1.176 items found: 1.176 files, 0 directories.

Total of file sizes: 217.693.389 bytes 207,61 M



Administrator Account = True



AppInit_DLLs value = mad.dll (not hidden)

--------------------End log---------------------





Aqui tambien marca el archivo mad.dll, por ultimo el log del vx2finder:

Log for VX2.BetterInternet File Finder (msg126)



Files Found---



Additional Files---



Keys Under Notify---

crypt32chain

cryptnet

cscdll

ScCertProp

Schedule

sclgntfy

SensLogn

termsrv

wlballoon





Guardian Key--- is called:



User Agent String---



Con el vx2, leia que anexaba un registro en Notify, pero aqui veo que solo estan las del sistema, y en user agent string no aparece ningun valor (que parece que si apareciera fuera razon de los privilegios de administrador alterados, segun leia)



De antemano gracias por la lectura y ayuda que puedan prestar.



Ah por cierto, les dejo el link de un pack para la traduccion del ad-aware se (no se si ya lo tengan puesto, pero por si las dudas):



Download Ad-Aware SE language-pack vol. 1

Includes the following language modules:

Danish, Dutch, Finnish, French, German, Italian

Norwegian, Portuguese, [b]SPANISH [/b]and Swedish



http://download.lavasoft.de.edgesuite.net/public/pllangs.exe



Saludos



Efrain

Avatar de Usuario
efraingh
Mensajes: 109
Registrado: 16 Abr 2004, 01:53
Ubicación: Vz, Mx

Mensaje por efraingh » 04 Feb 2005, 21:38

Se me olvido comentar que copie el archivo mad.dll, por si necesitan muestra, se las envio.



Tambien use el killbox, que permite eliminar archivos de varias formas, entre ellas una en el reinicio, pero aun asi volvio a aparecer el mad.dll, asi que por ahi debe haber algo que carga de nuevo el archivo.



Aparte, tambien comentar que en uno de los usuarios use la herramienta de elitempo en modo a prueba de fallos, pero nunca mando el mensaje de que los temporales hayan sido eliminados, y cuando se le daba apagar al sistema marcaba que estaba bloqueada la utilidad, de hecho ese usuario en la carpeta temporal donde almacena las muestras el elihomea tenia muchas carpetas, me imagino que son las que no puede borrar, porque el otro usuario y el administrador, en esa misma carpeta no tienen archivos o carpetas, al menos no muchas.



Saludos



Efrain

Avatar de Usuario
caito
Mensajes: 1538
Registrado: 30 May 2004, 06:29
Ubicación: Argentina

Mensaje por caito » 04 Feb 2005, 22:10

Lo que tendrías que eliminar es esto :

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O4 - HKCU\..\Run: [sp] C:\sp.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Ahora bien el problema es esta :

O20 - AppInit_DLLs: mad.dll

Parece que es muy difícil de quitar, entre las formas que recomiendan hallé esta :

restart in safe mode

open regedit

Rename HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows to

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows2

Set data value of AppInit_DLLs to blank

Rename Windows2 back to windows

Reboot normally

Delete Mad.dll

Sigo investigando

Salu2

Caito

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 07 Feb 2005, 09:47

Ademas tienes el sistema operativo no actualizado al igual que Internet explorer



Logfile of HijackThis v1.99.0

Scan saved at 05:28:33 p.m., on 03/02/2005

Platform:[color=red] Windows XP [/color](WinNT 5.01.2600)

MSIE: Internet Explorer [color=red]v6.00 [/color](6.00.2600.0000)



Conecta via windows update y actualiza.



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

Responder

Volver a “Foro HijackThis - copia y pega tu log”