Necesito esa ayuda urgente, se me desconecta conecta solo

[beck30]

(viene de https://foros.zonavirus.com/viewtopic.php?p=24095#24095)



Logfile of HijackThis v1.99.0

Scan saved at 15:28:11, on 09/02/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\ARCHIV~1\SPRINT~1.0OF\Sprint\CAgent.exe

C:\WINDOWS\clfmon.exe

C:\WINDOWS\winagent.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Office97\Office\OSA.EXE

C:\Office97\Office\excel.exe

C:\Archivos de programa\Norton AntiVirus\OPScan.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\Documents and Settings\cp.brians\Mis documentos\Mis archivos recibidos\aplivirus\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ADOBE\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [ABBYY Community Agent] C:\ARCHIV~1\SPRINT~1.0OF\Sprint\CAgent.exe

O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\clfmon.exe

O4 - HKLM\..\Run: [SvcH0st] C:\WINDOWS\winagent.exe /i

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Startup: ACTUALIZAR GESTOR MENÚ.lnk = C:\GMENU\WiseUpdt.exe

O4 - Global Startup: Inicio de Office.lnk = C:\Office97\Office\OSA.EXE

O4 - Global Startup: Búsqueda rápida de Microsoft.lnk = C:\Office97\Office\FINDFAST.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O15 - Trusted Zone: http://www.hotmail.com

O15 - Trusted Zone: http://www.yonkis.com

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107872459812

O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{57114276-6335-4AC4-BB05-8E1793A19F50}: NameServer = 62.151.2.8 62.151.8.100

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll (file missing)

O23 - Service: pcAnywhere Host Service - Symantec Corporation - C:\PCANY\awhost32.exe

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

[maura63]

En modo seguro elimina estas entradas



C:\WINDOWS\winagent.exe

O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\clfmon.exe

O4 - HKLM\..\Run: [SvcH0st] C:\WINDOWS\winagent.exe /i

O4 - Startup: [color=red]ACTUALIZAR GESTOR MENÚ.lnk [/color]= C:\GMENU\WiseUpdt.exe

O15 - Trusted Zone: http://www.yonkis.com





Lo de actualizar gestor menu, entrada en rojo, lo conoces ?



Conecta con windows update que hay actualizaciones nuevas.



Saludos

maura63

[msc hotline sat]

Se trata de un troyano conocido.



Puede verse mas informacion en:





http://www.sophos.com/virusinfo/analyses/trojagentbj.html#


[quote]


Virus information

Troj/Agent-BJ

Summary



Summary Description Recovery Advanced



Profile Prevalence: low high

Name Troj/Agent-BJ

Type Trojan



Affected operating systems Windows



Side effects Installs itself in the Registry



Aliases Trojan.Win32.Agent.r



Protection Download virus identity (IDE) file

Protection available since 16 December 2004 21:40:50 (GMT)

Included in our products from February 2005 (3.90)

More information on IDE files What are IDE files?

How to use IDE files

Get the latest IDE files



Staying up to date

EM Library, part of the Enterprise Manager suite of management tools, allows fully automated web-based installation and updating of Sophos Anti-Virus on a wide range of platforms. If you're using one of our enterprise solutions and aren't already using EM Library, check it out now. Users of our small business solutions are automatically updated by Sophos AutoUpdate.





Description



Summary Description Recovery Advanced



This section helps you to understand how it behaves

Troj/Agent-BJ is a Trojan for the Windows platform.

Troj/Agent-BJ hides itself from the user and may crash applications running on the computer.





Recovery



Summary Description Recovery Advanced



This section tells you how to disinfect.

Please follow the instructions for removing Trojans.



Windows NT/2000/XP/2003

In Windows NT/2000/XP/2003 you will also need to edit the following registry entry. The removal of this entry is optional in Windows 95/98/Me. Please read the warning about editing the registry.

At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.

Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.

Locate the HKEY_LOCAL_MACHINE entry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

clfmon.exe

clfmon.exe

and delete it if it exists.

Close the registry editor.





Advanced



Summary Description Recovery Advanced



This section is for technical experts who want to know more.

Troj/Agent-BJ is a Trojan for the Windows platform.

Troj/Agent-BJ copies itself to the Windows system folder using the name clfmon.exe and drops a DLL file to the same folder called syspack.dll. These files may be hidden from view.

Troj/Agent-BJ sets the following registry entry to run itself automatically on log-on:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

clfmon.exe

clfmon.exe

This registry entry may also be hidden from view while the Trojan is running.

Troj/Agent-BJ also creates a number of registry entries under the main registry entry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\

The files and registry entries will become visible once the Trojan is no longer running on the computer.







© 1997-2005 Sophos Plc. All rights reserved


[/quote]

saludos



ms, 9-02-2005



[/quote]

[maura63]

Efectivamente, estan relacionadas :wink:



O4 - Startup: ACTUALIZAR GESTOR MENÚ.lnk = C:\GMENU\WiseUpdt.exe



O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\[color=red]clfmon.exe [/color]





Saludos

maura63

[beck30]

Lo de la clave del gestor menu es un programa que utilizo para trabajar. Por ahora no lo quitare.

Solo quitare las que me indicas del clfmon y el winagent ademas de la de yonkis y veremos si pasa de nuevo.

Para proteger mi sistema de ese virus basta con el norton 2004 actualizado? por que creo que las actualizaciones de widowsupdate ya las tengo.

[maura63]

Dos cosas,



No conozco el programa de gestor menu, pero si es free (gratis) puede traer regalito añadido.



Y segundo, antivirus al dia y residente, firewall y algun anti-spyware, y precaucion con lo que descargamos, visitamos y correos que abrimos.



Saludos

maura63

[msc hotline sat]

Antes de borrar el CLFMON.EXE, mira si puedes enviarnos una muestra a zonavirus@satinfo.es abexado a un mail cuyo texto sea un copiar y pegar de este post, para poder contestare como respuesta de este Tema, pues fijaros que no es CTFMON, sino CLFMON. el cual desconocemos e interesa investigar



esperamos muestra, gracias



saludos



ms, 9-02-2005

[beck30]

Muchas gracias por vuestra ayuda, ya esta arreglado y funciona perfectamente.

Administrador, siento no enviarte muestra ya que lo elimine antes de ver tu mensaje, de todas maneras, si vuelve lo tendre en cuenta (de todas maneras espero que no vuelva).



Gracias otra vez

[maura63]

Una vez limpio de parasitos instalar y actualizar este otro programa.



· SpywareBlaster 3.2



versión nueva del SpywareBlaster (3.2 ):

http://www.javacoolsoftware.com/sbdownload.html





descarga, actualiza y luego pulsa sobre enable protection.



Saludos

maura63