Log Hijack porque el email hace raros (SOLUCIONADO)

[logan5]

Buenas, he pasado el antivirus, el antispyware y demás. Luego el Hijack y normalmente me salen muchas cosas, aunque esta vez muy pocas, no se si es normal.



Lo que me preocupa es que me llegan emails de errores de entrega, como si yo hubiera enviado a direcciones falsas y me devuelve el error el servidor.



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:07:41, on 18/10/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

O15 - Trusted Zone: http://www.kaspersky.com

O15 - Trusted Zone: http://www.vistaprint.es

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe



--

End of file - 1367 bytes

[lucl]

Me llama la atencion esto



Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)





te falta sp2 y actualizaciones posteriores que son bastantes, ademas criticas y que ayudarian a que tu pc este protegido, entra aqui y actualizalo



https://support.microsoft.com/es-es/help/12373/windows-update-faq





y otra cosa, ¿nos has pegado todo el log de hijackthis completo? saludos

[msc hotline sat]

Efectivamente, faltan parches, pero ademas hay muy pocas claves intermedias, no es un log normal...



Comparalo con las tropecientas claves de un log standar y verás... Es como si hubieras hecho un FixCheckef a casi todo el log... Si asi fuera, procede con un UNFIX :







saludos



ms, 19-10-2007

[logan5]

Sobre actualizar Windows ya estoy en ello. Pero lo que realmente me preocupa son las poicas claves. Yo no he borrado nada con fix. Y no creo que esto sea obra del CCleaner. Además todo funciona bien. Es como si un virus quisiera ocultarme esas claves, pero no logro detectar nada con el Kapersky.



Ayuda!

[msc hotline sat]

Pues arranque en modo seguro para lanzar el HJT, y una vez creado el log, arranca en modo normal para enviarnoslo, a ver si vemos mas claves.



De todas formas, releyendo en su Tema lo que indica al principio de



"Lo que me preocupa es que me llegan emails de errores de entrega, como si yo hubiera enviado a direcciones falsas y me devuelve el error el servidor"



Si bien centramos el problema en las pocas claves de su HJT, y posiblemente haya por ahí algun RootKit, es conocido que hay virus que envian mails en nombre de otro, cuya direccion encuentran en el ordenador infectado, y envian mails con fichero infectado a las demas direcciones de correo encontradas, los cuales si ya no existen o tiene antivirus que lo detecta, devuelven dichos mails por error de envio o por virus, al remitente, que no es quien tiene la maquina infectada, sino el "sufridor" que ha sido escogido para figurar como remitente en dicho envio, y asi impedir que se entere el que realmente está infectado. (y liar al "sufridor" :wink: )



Eso es solo como comentario, pero ademas en su caso vemos algo raro en su log. Proceda segun indicamos, gracias



saludos



ms, 28-10-2007

[logan5]

Ahora creo que no me he equivocado de botón :-) mi intención era continuar este hilo! -->



Por una parte aclarar que el tema del e-mail es extraño porque el e-mail que me llega como error, además del envio de una copia a una direccion rara, ¡¡tambien muestra el texto de algun mensaje que yo envie!! pero claro, el que yo envie no iba para esa direccion rara, por lo que no se si el caso es de que el virus esta en otro PC... En fin. He pasado 4 antivirus y 2 antispywares y parece que estoy limpio...



SOBRE EL HIJACKTHIS menguante lo he resuelto reinstalando, ¡¡¡ahora si aparecen muchas claves!!! Os pego el log (gracias por la ayuda):





Logfile of HijackThis v1.99.1

Scan saved at 0:36:52, on 29/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

C:\WINDOWS\system32\wuauclt.exe

D:\Programas\Seguridad\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.aeat.es

O15 - Trusted Zone: http://www.hostytec.com

O15 - Trusted Zone: http://www.kaspersky.com

O15 - Trusted Zone: http://www.pandasecurity.com

O15 - Trusted Zone: http://security.symantec.com

O15 - Trusted Zone: http://es.trendmicro-europe.com

O15 - Trusted Zone: http://www.vistaprint.es

O15 - Trusted Zone: http://www.zonavirus.com

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193533715562

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1193533695343

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A2BA8F73-4B56-4F62-AB3E-FB622DD993F2}: NameServer = 192.168.0.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

[msc hotline sat]

Pues el log ya está limpio y vemos que tiene instalado el NOD32, el cual si no le detecta virus, lo que posiblemente hubo fue la recepcion de devoluciones de algun virus como el NetSky enviado desde otro ordenador infectado en su nombre, como habiamos dicho anteriormente.



Asi que dando el Tema por solucionado, procedemos a cerrarlo



saludos



ms, 29-10-2007