...despues de eliminar yazzle1122 y Trojan-Zero(SOLUCIONADO)

[zetor]

Hola, este tema viene de aquí [url]https://foros.zonavirus.com/infectado-con-yazzle1122-trojan-zero-y-mas-vt19171.html[/url]

Despues de lo que comento en ese hilo, tengo los posibles sintomas de actividad de algun bicho:


[list]

El icono que sale en las pestañas del IE7 esta cambiado, por ej. en Yahoo, sale el icono de Imageshack, cuando abro otro foro, sale el icono de google en lugar del de este, en Mis Favoritos, el icono del foro de Kaspersky esta cambiado por el de Imageshack..

[/list][list]

Cuando reinicio desde modo seguro a modo normal, la ventana del explorador sale reducida y no a pantalla completa

[/list][list]

En cualquier momento me quedo sin coneccion a internet y da mucho trabajo poder restaurarla, debo aclarar que el modem huawei es de muy mala calidad y en los ultimos 15 dias me lo cambiaron dos veces, pero me preocupa que en realidad sea por accion de algun malware.

[/list][list]

Cada vez que quise scanear online con Hauri, me provoco un BSOD, cuando antes ya lo habia usado sin problemas.

[/list]

Pego el log para que me digan que ven, Gracias!



Logfile of HijackThis v1.99.1

Scan saved at 15:23:19, on 15/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\Explorer.EXE

D:\Prog. Vs\Hijackthis-Aplic\Hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKCU\..\Run: [TaskSwitchXP] "C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Estadísticas del Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: Yahoo! Chess - http://download2.games.yahoo.com/games/clients/y/ct5_x.cab

O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {2882C368-D508-11D4-A2AB-000102598CE4} (LProtect Control) - http://download.globalhauri.com/Eng/online_service/livecall.cab

O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/ar/securityadvisor/pestscan/pestscan.cab

O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C690FC3A-696A-4812-9AFE-8866A3A5D893}: NameServer = 192.168.1.10

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\svcntaux.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe





Saludos

[msc hotline sat]

Pues tiene SpySweeper y Spyware Doctor ! Desinstale uno de los dos (el Spyware Doctor ralentiza mucho...)



y esto del Hauri, use mejor cualquier otro, este es el de menos experiencia y solera !



saludos



ms, 16-06-2007

[zetor]

[quote="msc hotline sat"]Pues tiene SpySweeper y Spyware Doctor ! Desinstale uno de los dos (el Spyware Doctor ralentiza mucho...)



y esto del Hauri, use mejor cualquier otro, este es el de menos experiencia y solera !



saludos



ms, 16-06-2007[/quote]

No importa que ninguno de los dos este como residente y que el Spyware Doctor esta completamente desactivado?.. solo lo activo en el momento que lo quiero lanzar..

Debo suponer que el log del Hijacthis esta limpio, aun asi no realice ninguna accion respecto del Un-named Trojan detectado con E-Trust, elimino la clave donde me dice que esta, o es un error de e-trust?

Si me confirmas que puedo suponer que ya no tengo ningun malware, voy a proceder a enviar el archivo ADIRAS.exe que Elistara detecta con Dialer RAS.DE. Solo una duda, tambien se instala otro archivo detectado como infectado, el autoclk.exe, no hay problema en enviar los dos en un solo zip? y luego donde busco los resultados ?

Saludos

[msc hotline sat]

Estará desactivado, pero los ficheros de estas dos claves bien que los carga:



O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\svcntaux.exe



O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe



Y sí el HJT está por lo demás limpio.



Y ningun problema en enviar en un zip o RAR varios virus para analizar





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 16-06-2007

[zetor]

Ok, las muestras ya fueron enviadas, los resultados los recibo por e-mail o aqui mismo?.

Los ficheros que carga el SDoctor son obvios en el log del HJK, sabia que el SpySweeper aun cerrado carga un modulo que es necesario para cuando se llama a ejecutarlo pero nada del SDoc; sin embargo porque no sale en el Administrador de tareas?. Tampoco sale en Tuneup Manager process, ni en el Process Explorer, como tampoco en el HiddenFinder, que aqui muestro





[url=http://imageshack.us][img]http://img238.imageshack.us/img238/333/procesosactivossx7.jpg[/img][/url]



En cambio el SpyS esta en todos..



Tambien quisiera que me veas los TCP abiertos porque no estoy seguro de si microsoft deba tener dos, cuando hice la captura estaba desconectado de internet:





[url=http://imageshack.us][img]http://img341.imageshack.us/img341/424/vertcpsconexwm6.jpg[/img][/url]



Un saludo

[msc hotline sat]

No se contesta en privado, informamos en el foro, para aprovechamiento de todos.



Y su pregunta sobre el Administrador de Tareas, es una aplicacion reducida de microsoft, suficiente para que los usuarios puedan ver las tareas en uso, pero no llega al fondo con los modulos y demas



Es posible que con el SPROCES, en la ventana de modulos, pueda ver algo mas:



http://www.zonavirus.com/descargas/sproces.asp



Pero hay aplicaciones especificas para ver procesos en memoria, no tengo en casa ninguno, pero puede ver http://descargas.ozu.es/file.phtml?&id_file=41944&action=print





(Lo he encontrado buscando con el Google, no lo uso)



saludos



ms, 17-06-2007

                              

[zetor]

Pues gracias, si salio pero en el log que deja, dentro de los servicios de carga manual. En Modulos salieron 421 en una ventana reducida, sugiero que permitan maximizarla para no marearse :?

Saludos

[msc hotline sat]

:lol:



Sería deseable , es verdad !



Bueno, y ya aclarado todo, damos por solucionado el Tema y procedemos a cerrarlo



saludos



ms, 17-06-2007