Es un virus, pero cual??

[jcampog]

hola,

mi problema es que a la vuelta de vacas me he encontrado con que mi pc hace cosas un tanto raras, tengo el norton internet security, pues me da problemas con el explorador (iexplorer 6, instale el 7 y sigue dando por c...), con el counter strike me dice que el juego no esta disponible y el norton detecta un troyano downloader, luego investigando por ahi he visto que a veces el spoolsv.exe puede ser un virus, lo elimino y vuelve a aparecer seguido, siempre esta en procesos activos, no se, no lo entiendo os dejo el log del hijack a ver si me decis alguna cosa.

GRACIAS DE ANTEMANO



Logfile of HijackThis v1.99.1

Scan saved at 17:46:09, on 10/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\AGRSMMSG.exe

C:\HP\KBD\KBD.EXE

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\SpyBro\SpyBro.exe

C:\Archivos de programa\PIXELA\ImageMixer for HDD Camcorder\IMx3Launcher.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\DOCUME~1\COMPAQ~1\CONFIG~1\Temp\Directorio temporal 2 para hijackthis.zip\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q105&bd=presario&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q105&bd=presario&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q105&bd=presario&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O3 - Toolbar: Mostrar la Barra de herramientas de Norton - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\UIBHO.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe"

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.7\THGuard.exe"

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: ImageMixer for HDD Camcorder.lnk = C:\Archivos de programa\PIXELA\ImageMixer for HDD Camcorder\IMx3Launcher.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - https://a248.e.akamai.net/f/248/5462/2h/www.symantecstore.com/v2.0-img/operations/symbizpr/xcontrol/SymDlBrg.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\VAScanner\comHost.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Validación de contraseña de Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

[msc hotline sat]

Elimina estas dos claves:



O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE



O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart



pero no son downloaders..., quizas lo se este otro sospechoso, pero no se pueed eliminar sin analizarlo !





O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /installquiet /keeploaded /nodetect



Voy a ver si me entero de lo que es...



Pues este nwiz.exe puede ser un driver de NVIDEA o un gusano como este:



http://www.vsantivirus.com/gaobot-fu.htm



Envianos dicho fichero y lo analizaremos:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



m,s, 10-07-2007

[jcampog]

Gracias, os envio el fichero que me pedis a ver que sale...

[msc hotline sat]

Pues la muestra enviada resulta ser el de NVIDEA, asi que lo dejaremos estar



Vea si con las claves eliminadas, tras reiniciar, persiste algun problema y nos lo comenta. gracias



saludos



ms, 11-07-2007

[jcampog]

he echao a andar el AVG anti-syware y de momento me ha detectao esto con peligrosidad alta Not-A-Virus.Exploit:ByteVerify

Suena fatal

decidme algo plis

[msc hotline sat]

Pues arranca en modo seguro y eliminalo, es un viejo conocido que entraba por falta de una version actualizada de java, quizas te hace falta actualizar version.



saludos



ms, 11-7-2007

[jcampog]

me parece que aparte de ese hay algo mas porque despues de reiniciar y todo el explorador sigue redireccionando a una pagina xtoff, que no se q c**o es.

[msc hotline sat]

Pues no se ve en el log, pero el registro es inmenso, prueba el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



SALUDOS



MS, 12-07-2007



NOTA: Cuando pregunte si quieres eliminar la pagina de inicio, dile que SÏ, y al salir te pedirá le pongas una o la dejes en blan co, PONLE UNA CUALQUIERA, como [b] http://www.google.es [/b] para saber si te la borra o qué



ms

[jcampog]

creo que he pillado algo sospechoso: ayer desinstale el norton con su herramienta de eliminacion y en C archivos comunes me sale una carpeta symantec shared ( que se supone que deberia estar eliminada) en ella una subcarpeta CCPD y un archivo symlcrst(3)(3).dll que no se puede borrar , he pasado el copy lock y tampoko lo elimina,



Que pensais que puede ser???



os lo envio a ver que decis( si se puede claro))



tambien pase el elitrip y me detecta un autorun.inf lo marca como backdoor.cmq(inf) en G:



saludos y gracias

[msc hotline sat]

Sobre lo de Symantec mas bien puede ser alguna utilidad de redes que no sea de antivirus, u otras aplicaciones que tienen...



Y lo del autorun.inf, vigile y analice sus pendrives, explorandolos con el ELISTARA, pues es propio de virus que se propagan a traves de ellos.



saludos



ms, 12-07-2007

[jcampog]

he analizado con el nanoscan de panda y dice que hay algo sospechoso ya que el norton internet security dice que esta activado y actualizado- ¡¡¡¡¡¡¡¡¡¡¡lo desinstale ayer!!!!!!!!!

a que suena fatal???

[msc hotline sat]

Bueno, a ver si el nanoscan dice algo mas y si no, creo que ofrecen un testeo mas exhaustivo, hazlo y si no lo solucionan, al menos que te diga nombre de fichero infectado para que nos lo puedan enviar para analizar



Lo del Norton, si ya has utilizado su utilidad de desinstalacion ...

prueba eliminar las claves con el HJT y sino con el BUSCAREG:



[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATInfo)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]



saludos



ms, 12-07-2007