Hasta los web´s del spy secure y compañia

arielmes · Mensaje por **arielmes** » 31 Ago 2007, 03:40

El caso es que segun estoy navegando se me abren diversas paginas como la de spy secure diciendo que si estoy infectado , tambien se me abren otras paginas de tematica parecida a las que yo abro por voluntad propia. le pase varios antivirus , el spy-bot , el ad-ware y nada de nada , todo sigue igual . El navegador que utilizo habitualmente es el firefox y el sistema operativo es el windos xp porofesional xp64 edition version 2003.

Agradeceria enormemente cualquier ayuda para podder solucionar esto, que ya me tiene medio loco.

Saluos,

Adjunto el archivo log del Hijacthis.log , ¿No se si esta es la mejor manera o es necesario pegarlo como texto ?, bueno lo pego por si acaso

Logfile of HijackThis v1.99.1

Scan saved at 2:34:53, on 31/08/2007

Platform: Windows 2003 SP1 (WinNT 5.02.3790)

MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)

Running processes:

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files (x86)\Common Files\Ahead\lib\NMBgMonitor.exe

C:\PROGRA~2\MI3AA1~1\wcescomm.exe

C:\WINDOWS\SysWOW64\rundll32.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\SysWOW64\ctfmon.exe

C:\Program Files (x86)\VideoLAN\VLC\gvimagenio2.exe

C:\PROGRA~2\MI3AA1~1\rapimgr.exe

C:\Program Files (x86)\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files (x86)\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files (x86)\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Program Files (x86)\Softwin\BitDefender8\bdmcon.exe

C:\Program Files (x86)\QuickTime\qttask.exe

C:\Program Files (x86)\iTunes\iTunesHelper.exe

C:\Program Files (x86)\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

C:\WINDOWS\SysWOW64\FreezeScreenSaver.exe

C:\Program Files (x86)\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

C:\BMWgroup\ETKLokal\transbase\tbmux32.exe

C:\Program Files (x86)\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files (x86)\Common Files\Softwin\BitDefender Scan Server\bdss.exe

C:\PROGRA~2\MOZILL~1\FIREFOX.EXE

C:\Program Files (x86)\iPod\bin\iPodService.exe

C:\hijachThis_mano\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

F2 - REG:system.ini: UserInit=userinit

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~2\TWINTO~1\MouseElf.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files (x86)\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files (x86)\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\SysWOW64\NeroCheck.exe

O4 - HKLM\..\Run: [BDMCon] "C:\Program Files (x86)\Softwin\BitDefender8\bdmcon.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~2\MI3AA1~1\wcescomm.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: gvimagenio2.exe.lnk = C:\Program Files (x86)\VideoLAN\VLC\gvimagenio2.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~2\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~2\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~2\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~2\MI3AA1~1\INetRepl.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab

O16 - DPF: {48D9E4FD-2FD3-4C69-BAF3-682E9C616815} (SNAE_MSA.MSA) - https://notificaciones.administracion.es/sntsbuzongr/CABS/PaqueteSin/SNAE_MSA.CAB

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139966912906

O16 - DPF: {76A2A0AB-38B7-46DB-8E47-F10CDE4D7920} - http://www.earthetc.com/ecwplugins/ncs.cab

O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://puntos.dgt.es/conductores_cert_cpp/pag/capicom.cab

O16 - DPF: {B6F0855B-A06D-498B-A537-80AFF04A1B4E} (WSClientCtl Class) - https://www.telefonicaonline.com/o1/http/WSClient.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab

O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) - http://www.cnig.es:8080/CNIG2006/acgm/acgm.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7C9C38C6-D06B-43F7-8E11-C82C556963C3}: NameServer = 80.58.0.33,80.58.32.97

O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll

O20 - Winlogon Notify: EFS - C:\WINDOWS\SYSTEM32\sclgntfy.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files (x86)\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files (x86)\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)

O23 - Service: Event Log (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)

O23 - Service: FreezeScreenSaver - Unknown owner - C:\WINDOWS\system32\FreezeScreenSaver.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files (x86)\iPod\bin\iPodService.exe

O23 - Service: Process Monitor (LVPrcS64) - Unknown owner - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe (file missing)

O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe (file missing)

O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files (x86)\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)

O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)

O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: Transbase - Transaction Software, D 81737 Munich - C:\BMWgroup\ETKLokal\transbase\tbmux32.exe

O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)

O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing)

O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files (x86)\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

arielmes · Mensaje por **arielmes** » 31 Ago 2007, 03:48

Intente descargar el EliStarA 14.54 , pero me da un error "The system cannot find the file specified" , supongo que no valdra para mi sistema operativo (la verdad es que estoy hasta los mismisimos del condenado s.o. )

Mensaje por **msc hotline sat** » 31 Ago 2007, 07:39

De entrada este freezescreensaver.exe parece ser troyano:

http://www.greatis.com/appdata/d/f/freezescreensaver.exe.htm

Mira si lo conoces y es voluntario por cualquier razon, o renombra el fichero C:\WINDOWS\system32\FreezeScreenSaver.exe

a extension .VIR y tras reiniciar, elimina esta clave:

O23 - Service: FreezeScreenSaver - Unknown owner - C:\WINDOWS\system32\FreezeScreenSaver.exe

y tras ello nos cuentas el resultado, gracias

saludos

ms, 31-08-2007

nota: y la verdad, no hemos diseñado el ELISTARA para el XP 64, pero no sé que encuentra a faltar cuando dice lo de "The system cannot find the file specified" ...

arielmes · Mensaje por **arielmes** » 31 Ago 2007, 13:52

Ante todo gracias por la atencion prestada , parece ser que esta solucionado el problema.

Hice lo que me indicabas , pero hay no debia estar el problema . Luego intente nuevamente descargar el EliStar y lo xconsegui, ( el problema era por el navegador, lo descarge desde el IE y listo.despues de ejecutarlo me detecto y elimo un rootkit. Adjunto el log.

Fri Aug 31 12:14:02 2007

EliStartPage v14.54 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FMUFNFMUEM.EXE.Muestra tPage v14.54

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSWOW64\FMUFNFMUEM.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado

Entrada Eliminada [HKLM\...\Run] "FMUFNFMUEM"="c:\windows\SysWow64\fmufnfmuem.exe fmufnfmuem"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Linea Eliminada del HOSTS --> 127.0.0.1 microweb

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Nuevamente mil gracias por todo

Mensaje por **lucl** » 31 Ago 2007, 13:59

debes enviar esto para su analisis

Por favor, envienos una muestra del fichero

C:\Muestras\FMUFNFMUEM.EXE.Muestra tPage v14.54

a "virus@satinfo.es". Gracias.

cuando lo envies te diran algo al respecto y te daran la herramienta necesaria,

ademas te faltan parches muy importantes, que deberias poner para el buen funcionamiento de tu pc, saludos

Mensaje por **msc hotline sat** » 01 Sep 2007, 00:20

Bueno, los del foro de zonavirus, mejor envienlo segun indicamos en:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 31-08-2007

Mensaje por **msc hotline sat** » 01 Sep 2007, 11:20

Analizada muestra, se detecta nueva variante de NAVIPROMO que pasamos a controlar a partir de ELISTARA 14.55

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

SALUDOS

MS, 1-09-2007