Lluvia de gusanos

[jhontoriar]

No se si encontrareis algo para eliminar en el log que os envío, pero desde hace unos días, mi antivirus detecta y desinfecta múltiples gusanos tipo: Protoride, exploit, dedler, dowlander.AIZ, webdor.G, Sdbot.BVH, etc. y en otras ocasiones esto ha precedido a la instalación de barras e iconos no deseados, puedo adelantarme a esto?. Ya pasé el Spybot y Adware sin detección ninguna. Gracias adelantadas. :shock:



Logfile of HijackThis v1.99.0

Scan saved at 8:58:25, on 22/02/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTSVCCDA.EXE

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Spamihilator\spamihilator.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\apvxdwin.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Manuel\Configuración local\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [Spamihilator] "C:\Archivos de programa\Spamihilator\spamihilator.exe"

O8 - Extra context menu item: &Google Search - res://c:\windows\googletoolbar2.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\windows\googletoolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\windows\googletoolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\windows\googletoolbar2.dll/cmbacklinks.html

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{591641D0-7CC3-4341-8CE4-4FB444EA4194}: NameServer = 62.36.225.150 62.37.228.20

O17 - HKLM\System\CCS\Services\Tcpip\..\{C00B6EC5-D507-44A1-9361-6DBEB92FA85F}: NameServer = 217.76.128.4,217.76.129.4

O17 - HKLM\System\CS1\Services\Tcpip\..\{591641D0-7CC3-4341-8CE4-4FB444EA4194}: NameServer = 62.36.225.150 62.37.228.20

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: LicCtrl Service - Unknown - C:\WINDOWS\runservice.exe (file missing)

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2004\WinStylerThemeSvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[maura63]

Pasa un antivirus online y dinos que detecta



Antivirus



Antivirus On-line:



· Computer Associates

https://www.virustotal.com/es/





Saludos

maura63

[msc hotline sat]

Bueno, como que usas XP, si puedes arrancar en modo seguro con funciones de red, deshabilita la restauracion de sistema y arranca en dicho modo y lanza el antivirus que te proipone Maura63, y ya te eliminará buena parte de los bichos, especialmente el Protoride, que posiblemente utilice como gusano el CTSVCCDA.EXE , además de los otros que indicas.

Por si acaso el antivirus no te restaurara la clave del registro que afecta a este gusano, y que una vez eliminado si restauirar dicha clave, no te permitiría ejecutar ningun ejecutable (no EXE, noi CVOM, ni PIF, ni BAT, etc) por restringor su ejecucion a través de una clave del registro, bajate antes la utilidad ELIRESTR.VBS y ejecutala si luego te hace falta:

*******************************************************************

ELIRESTR.VBS (ELIMINA RESTRICCIONES DE REGISTRO DE SISTEMA)

ESTA APLICACION RESTAURA LAS CLAVES DEL REGISTRO DEL SISTEMA MODIFICADAS PÒR MUCHOS VIRUS QUE INTERCEPTAN LA EJECUCION DE EJECUTABLES Y RESTRINGEN ACCESOS, INCLUYENDO EDICION DEL REGISTRO DE SISTEMA. AL SER VBS FACILITA LA EJECUCION AUNQUE ESTEN INTERCEPTADOS LOS EXE, ADEMAS DE NO UTILIZAR EL REGEDIT POR SI ESTUVIERA RESTRINGIDA SU EDICION.



*******************************************************************

Evidentemente, si solo tuvieras este te recomendaria sencuillamente utilizar el ELIPROTA, que elkimina el Protoride y restaura las claves, pero como que tienes otros, lanza el antivirus arrancando conforme indicado, y ten la utilidad a punto por si te hiciera falta.

Y te recuerdo que antes de ofrecernos el log del HJT para estudiarlo, debem antes haberse seguido los puntos indicados en los tutoriales de virus y spywares:



saludos

ms, 22-02-2005

[jhontoriar]

Ya pasé el antivirus online y me detectó lo que os pego a continuación. No entiendo como panda no los elimina.Gracias



c.jar-31b7b78e-45294fe5.zip>Beyond.class Java.Shinwow.S infected C:\Documents and Settings\Sara\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\

205-2[1].htm HTML.IFrame!exploit infected C:\Documents and Settings\La Surfer\Configuración local\Archivos temporales de Internet\Content.IE5\CXQROH67\

c.jar-31b7b78e-3c73fab0.zip>Beyond.class Java.Shinwow.S infected C:\Documents and Settings\La Surfer\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\

[caito]

Haz lo siguiente:

Para configurar Windows XP para que muestre las extensiones de archivo:



Haga clic en Mi PC.

Haga clic en el menú Herramientas, y después en Opciones de carpeta.

Haga clic en la pestaña Ver.

Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".

Quite la marca en "Ocultar archivos protegidos del sistema operativo".

Haga clic en Aplicar, y después en Aceptar.

Ejecuta el Hijack y pega un nuevo log.

Salu2

Caito

[jhontoriar]

Ahi va el log que me pides. Gracias Caito



Logfile of HijackThis v1.99.0

Scan saved at 8:01:12, on 23/02/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTSVCCDA.EXE

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Spamihilator\spamihilator.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\apvxdwin.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Manuel\Configuración local\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [Spamihilator] "C:\Archivos de programa\Spamihilator\spamihilator.exe"

O8 - Extra context menu item: &Google Search - res://c:\windows\googletoolbar2.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\windows\googletoolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\windows\googletoolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\windows\googletoolbar2.dll/cmbacklinks.html

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{591641D0-7CC3-4341-8CE4-4FB444EA4194}: NameServer = 62.36.225.150 62.37.228.20

O17 - HKLM\System\CCS\Services\Tcpip\..\{C00B6EC5-D507-44A1-9361-6DBEB92FA85F}: NameServer = 217.76.128.4,217.76.129.4

O17 - HKLM\System\CS1\Services\Tcpip\..\{591641D0-7CC3-4341-8CE4-4FB444EA4194}: NameServer = 62.36.225.150 62.37.228.20

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: LicCtrl Service - Unknown - C:\WINDOWS\runservice.exe (file missing)

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2004\WinStylerThemeSvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[maura63]

Pues en principio esta limpio.



Saludos

maura63

[msc hotline sat]

Tienes deteccion de virus en temporaes de internet, baja y lanza la utilidad ELITEMPO.EXE:

viewtopic.php?f=11&t=5049

Aunque ello no te ocasionara problema alguno, solo la deteccion por parte del antivirus.

Y finaliza lanzando un antivirus ONLINE para garantizar la total limpieza:

https://www.virustotal.com/es/

Si te detectara algo, postealo en un nuevo Tema en "Cuentanos tu problema con virus", pero para nosotros este Tema está solucionado y lo cerramos

saludos

ms, 23-02-2005