-
beck30
- Mensajes: 6
- Registrado: 04 Feb 2005, 18:56
Mensaje
por beck30 » 09 Feb 2005, 15:44
(viene de https://foros.zonavirus.com/viewtopic.php?p=24095#24095)
Logfile of HijackThis v1.99.0
Scan saved at 15:28:11, on 09/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
C:\ARCHIV~1\SPRINT~1.0OF\Sprint\CAgent.exe
C:\WINDOWS\clfmon.exe
C:\WINDOWS\winagent.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Office97\Office\OSA.EXE
C:\Office97\Office\excel.exe
C:\Archivos de programa\Norton AntiVirus\OPScan.exe
C:\Archivos de programa\Outlook Express\msimn.exe
C:\Documents and Settings\cp.brians\Mis documentos\Mis archivos recibidos\aplivirus\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ADOBE\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\ARCHIV~1\SPRINT~1.0OF\Sprint\CAgent.exe
O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\clfmon.exe
O4 - HKLM\..\Run: [SvcH0st] C:\WINDOWS\winagent.exe /i
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Startup: ACTUALIZAR GESTOR MENÚ.lnk = C:\GMENU\WiseUpdt.exe
O4 - Global Startup: Inicio de Office.lnk = C:\Office97\Office\OSA.EXE
O4 - Global Startup: Búsqueda rápida de Microsoft.lnk = C:\Office97\Office\FINDFAST.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://www.hotmail.com
O15 - Trusted Zone: http://www.yonkis.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107872459812
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{57114276-6335-4AC4-BB05-8E1793A19F50}: NameServer = 62.151.2.8 62.151.8.100
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll (file missing)
O23 - Service: pcAnywhere Host Service - Symantec Corporation - C:\PCANY\awhost32.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
-
maura63
- Mensajes: 6865
- Registrado: 09 Mar 2004, 20:42
- Ubicación: Cádiz, ESPAÑA
-
Contactar:
Mensaje
por maura63 » 09 Feb 2005, 15:54
En modo seguro elimina estas entradas
C:\WINDOWS\winagent.exe
O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\clfmon.exe
O4 - HKLM\..\Run: [SvcH0st] C:\WINDOWS\winagent.exe /i
O4 - Startup: [color=red]ACTUALIZAR GESTOR MENÚ.lnk [/color]= C:\GMENU\WiseUpdt.exe
O15 - Trusted Zone: http://www.yonkis.com
Lo de actualizar gestor menu, entrada en rojo, lo conoces ?
Conecta con windows update que hay actualizaciones nuevas.
Saludos
maura63
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 09 Feb 2005, 17:19
Se trata de un troyano conocido.
Puede verse mas informacion en:
http://www.sophos.com/virusinfo/analyses/trojagentbj.html#
[quote]
Virus information
Troj/Agent-BJ
Summary
Summary Description Recovery Advanced
Profile Prevalence: low high
Name Troj/Agent-BJ
Type Trojan
Affected operating systems Windows
Side effects Installs itself in the Registry
Aliases Trojan.Win32.Agent.r
Protection Download virus identity (IDE) file
Protection available since 16 December 2004 21:40:50 (GMT)
Included in our products from February 2005 (3.90)
More information on IDE files What are IDE files?
How to use IDE files
Get the latest IDE files
Staying up to date
EM Library, part of the Enterprise Manager suite of management tools, allows fully automated web-based installation and updating of Sophos Anti-Virus on a wide range of platforms. If you're using one of our enterprise solutions and aren't already using EM Library, check it out now. Users of our small business solutions are automatically updated by Sophos AutoUpdate.
Description
Summary Description Recovery Advanced
This section helps you to understand how it behaves
Troj/Agent-BJ is a Trojan for the Windows platform.
Troj/Agent-BJ hides itself from the user and may crash applications running on the computer.
Recovery
Summary Description Recovery Advanced
This section tells you how to disinfect.
Please follow the instructions for removing Trojans.
Windows NT/2000/XP/2003
In Windows NT/2000/XP/2003 you will also need to edit the following registry entry. The removal of this entry is optional in Windows 95/98/Me. Please read the warning about editing the registry.
At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.
Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.
Locate the HKEY_LOCAL_MACHINE entry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
clfmon.exe
clfmon.exe
and delete it if it exists.
Close the registry editor.
Advanced
Summary Description Recovery Advanced
This section is for technical experts who want to know more.
Troj/Agent-BJ is a Trojan for the Windows platform.
Troj/Agent-BJ copies itself to the Windows system folder using the name clfmon.exe and drops a DLL file to the same folder called syspack.dll. These files may be hidden from view.
Troj/Agent-BJ sets the following registry entry to run itself automatically on log-on:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
clfmon.exe
clfmon.exe
This registry entry may also be hidden from view while the Trojan is running.
Troj/Agent-BJ also creates a number of registry entries under the main registry entry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\
The files and registry entries will become visible once the Trojan is no longer running on the computer.
© 1997-2005 Sophos Plc. All rights reserved
[/quote]
saludos
ms, 9-02-2005
[/quote]
Última edición por
msc hotline sat el 09 Feb 2005, 17:37, editado 2 veces en total.
-
maura63
- Mensajes: 6865
- Registrado: 09 Mar 2004, 20:42
- Ubicación: Cádiz, ESPAÑA
-
Contactar:
Mensaje
por maura63 » 09 Feb 2005, 17:26
Efectivamente, estan relacionadas :wink:
O4 - Startup: ACTUALIZAR GESTOR MENÚ.lnk = C:\GMENU\WiseUpdt.exe
O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\[color=red]clfmon.exe [/color]
Saludos
maura63
-
beck30
- Mensajes: 6
- Registrado: 04 Feb 2005, 18:56
Mensaje
por beck30 » 09 Feb 2005, 19:21
Lo de la clave del gestor menu es un programa que utilizo para trabajar. Por ahora no lo quitare.
Solo quitare las que me indicas del clfmon y el winagent ademas de la de yonkis y veremos si pasa de nuevo.
Para proteger mi sistema de ese virus basta con el norton 2004 actualizado? por que creo que las actualizaciones de widowsupdate ya las tengo.
-
maura63
- Mensajes: 6865
- Registrado: 09 Mar 2004, 20:42
- Ubicación: Cádiz, ESPAÑA
-
Contactar:
Mensaje
por maura63 » 09 Feb 2005, 20:25
Dos cosas,
No conozco el programa de gestor menu, pero si es free (gratis) puede traer regalito añadido.
Y segundo, antivirus al dia y residente, firewall y algun anti-spyware, y precaucion con lo que descargamos, visitamos y correos que abrimos.
Saludos
maura63
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 09 Feb 2005, 20:31
Antes de borrar el CLFMON.EXE, mira si puedes enviarnos una muestra a zonavirus@satinfo.es abexado a un mail cuyo texto sea un copiar y pegar de este post, para poder contestare como respuesta de este Tema, pues fijaros que no es CTFMON, sino CLFMON. el cual desconocemos e interesa investigar
esperamos muestra, gracias
saludos
ms, 9-02-2005
-
beck30
- Mensajes: 6
- Registrado: 04 Feb 2005, 18:56
Mensaje
por beck30 » 10 Feb 2005, 13:07
Muchas gracias por vuestra ayuda, ya esta arreglado y funciona perfectamente.
Administrador, siento no enviarte muestra ya que lo elimine antes de ver tu mensaje, de todas maneras, si vuelve lo tendre en cuenta (de todas maneras espero que no vuelva).
Gracias otra vez
-
maura63
- Mensajes: 6865
- Registrado: 09 Mar 2004, 20:42
- Ubicación: Cádiz, ESPAÑA
-
Contactar:
Mensaje
por maura63 » 10 Feb 2005, 13:10
Una vez limpio de parasitos instalar y actualizar este otro programa.
· SpywareBlaster 3.2
versión nueva del SpywareBlaster (3.2 ):
http://www.javacoolsoftware.com/sbdownload.html
descarga, actualiza y luego pulsa sobre enable protection.
Saludos
maura63