las pegajosas ventanitas (SOLUCIONADO)

orbiasegui · Mensaje por **orbiasegui** » 17 Oct 2007, 21:36

Hola amigos, soy nuevo en este foro y quisiera felicitaros por este trabajo que haceis de forma desinteresada y que nos saca de muchos apuros.Mi caso es el tipico de las ventanitas de publis que no me dejan en paz, pues aparecen continuamente, siendo la que mas lo hace una falsa de la web de centro de seguridad de windows anunciando que tengo un virus e invitandome a instalar su antivirus.

He leido bastante por internet y he llegado a la conclusion que me infecte al instalar "webmediaplayer", con lo que se cuela el navipromo, que ya he intentado eliminar pero sin exito.Se han instalado como editores de confianza (opciones de internet/contenido/certificados) unos falsos certificados de nombre "electronic-group, favorit, de la casa Thawte Code, y no hay forma de eliminarlos, es decir, le doy a quitar pero se restauran en la siguiente conexion de internet.

Supongo que si me ayudais a eliminarlos se quitaran las jodidas ventanitas.

De todas formas os dejo mi log pa que le echeis un vistazo y vaya las gracias por adelantado.Un saludo.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:37:13, on 17/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

C:\Archivos de programa\cFosSpeed\spd.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

E:\ARCHIVOS DE PROGRAMAS\3DSMax\mentalray\satellite\raysat_3dsmax9_32server.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Sygate\SPF\smc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\mHotkey.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Archivos de programa\cFosSpeed\cFosSpeed.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Archivos de programa\Azureus\Azureus\Azureus.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\internet explorer\iexplore.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - E:\MIS DESCARGAS\PROGRAMAS\P2P\bitcomet\instalacion\BitComet\tools\BitCometBHO_1.1.7.4.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [cFosSpeed] C:\Archivos de programa\cFosSpeed\cFosSpeed.exe

O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Suscribir en RSS Bandit - C:\Documents and Settings\CVS\Datos de programa\RssBandit\iecontext_subscribebandit.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - E:\MIS DESCARGAS\PROGRAMAS\P2P\bitcomet\instalacion\BitComet\tools\BitCometBHO_1.1.7.4.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/DivXBrowserPlugin.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Archivos de programa\cFosSpeed\spd.exe

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - E:\ARCHIVOS DE PROGRAMAS\3DSMax\mentalray\satellite\raysat_3dsmax9_32server.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

--

End of file - 6912 bytes

Mensaje por **lucl** » 17 Oct 2007, 22:17

De momento pasa estos dos programs que te indico y luego nos pegas el log que te dejara en C infosat.txt cuando hayas pasado estos dos programas ejecutas de nuevo hijackthis ynos pegas el log nuevo, saludos

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

orbiasegui · Mensaje por **orbiasegui** » 17 Oct 2007, 23:00

Aqui os dejo los dos:

Wed Oct 17 22:36:42 2007

EliStartPage v14.85 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "HRAMVNO"="c:\documents and settings\cvs\configuración local\datos de programa\hramvno.exe hramvno"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminados Ficheros Temporales del IE

Wed Oct 17 22:38:52 2007

EliStartPage v14.85 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\TVUPlayer\LIBCHFILE.DLL --> Eliminado, WinAntiVirus Pro 2006

C:\WINDOWS\NIRCMD.EXE --> Eliminado, Tool-NirCmd

Nº Total de Directorios: 4042

Nº Total de Ficheros: 32221

Nº de Ficheros Analizados: 12232

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Wed Oct 17 22:47:55 2007

EliTriIP v4.01 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Wed Oct 17 22:48:11 2007

EliTriIP v4.01 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:01:02, on 17/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

C:\Archivos de programa\cFosSpeed\spd.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

E:\ARCHIVOS DE PROGRAMAS\3DSMax\mentalray\satellite\raysat_3dsmax9_32server.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Sygate\SPF\smc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\mHotkey.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Archivos de programa\cFosSpeed\cFosSpeed.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Archivos de programa\Azureus\Azureus\Azureus.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\ESET\nod32kui.exe

C:\WINDOWS\system32\Notepad.exe

C:\Archivos de programa\internet explorer\iexplore.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - E:\MIS DESCARGAS\PROGRAMAS\P2P\bitcomet\instalacion\BitComet\tools\BitCometBHO_1.1.7.4.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [cFosSpeed] C:\Archivos de programa\cFosSpeed\cFosSpeed.exe

O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Suscribir en RSS Bandit - C:\Documents and Settings\CVS\Datos de programa\RssBandit\iecontext_subscribebandit.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - E:\MIS DESCARGAS\PROGRAMAS\P2P\bitcomet\instalacion\BitComet\tools\BitCometBHO_1.1.7.4.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/DivXBrowserPlugin.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Archivos de programa\cFosSpeed\spd.exe

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - E:\ARCHIVOS DE PROGRAMAS\3DSMax\mentalray\satellite\raysat_3dsmax9_32server.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

--

End of file - 6945 bytes

Mensaje por **msc hotline sat** » 18 Oct 2007, 07:35

Pues ya solo queda este sospechoso:

C:\Documents and Settings\CVS\Datos de programa\RssBandit\iecontext_subscribebandit.htm

envianos muestra y la analizaremos e informaremos:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 18-10-2007

Mensaje por **msc hotline sat** » 18 Oct 2007, 17:47

Pues analizada la muestra, no parece contener rutinas viricas, asi que como con el log del HJT no aparece nada y con el ELISTARA tampoco, prueba el SPROCES, que llega mas a fondo que el HJT, a ver si encontramos la causa:

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y posteanos el contenido del C:\SPROCLOG.TXT :

saludos

ms, 18-10-2007

orbiasegui · Mensaje por **orbiasegui** » 19 Oct 2007, 19:18

Perdon por mi ignorancia pero es que no rula el SProces, o yo no se.Aparece una ventana con otras dos en su interior mas pequeñas, pero no veo nada en proceso, en una ventana aparecen los .dll y en la otra los .exe pero no se como se pone en funcionamiento.Gracias.

Mensaje por **msc hotline sat** » 19 Oct 2007, 19:35

Tranquilo, es una herramienta para nosotros, que dejamos probar para que puedan postearnos el fichero que crea en c:\sproclog.txt , como ya se indica cuando se pulsa SALIR

Abre dicho fichero con el bloc de notas, lo seleccionas todo, y con un copiar y pegar lo posteas en tu proximo post de respuesta a este Tema.

Es una especie de HJT pero que llega mas profundo, a ver si con ello vemos algo.

saludos

ms, 19-10-2007

orbiasegui · Mensaje por **orbiasegui** » 19 Oct 2007, 20:09

Lo siento amigo no veia el log. Antes que nada he de decirte que dentro de mi desesperacion que tenia ayer, probe un programa por si acaso, el AVG anti-rootkit, y despues de pasarlo dio dos lineas llamadas HRAMVNO.EXE que al eliminar comprobe que los editores causantes de la publi, y que se habian instalado en Certificados/Editores de confianza ya no se han vuelto a restaurar, con lo que despues de unas horas no aparecen las dichosas ventanitas. Esto no quiere decir que este limpio, no?.

Te dejo el log de Sproces y espero que no encuentres nada extraño.Gracias.

Fri Oct 19 19:11:38 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.11) 0

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AUTODESK SHARED\SERVICE\ADSKSCSRV.EXE

C:\ARCHIVOS DE PROGRAMA\CFOSSPEED\SPD.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

E:\ARCHIVOS DE PROGRAMAS\3DSMAX\MENTALRAY\SATELLITE\RAYSAT_3DSMAX9_32SERVER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\ARCHIVOS DE PROGRAMA\SYGATE\SPF\SMC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\MHOTKEY.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE

C:\WINDOWS\SYSTEM32\LVCOMSX.EXE

C:\ARCHIVOS DE PROGRAMA\CFOSSPEED\CFOSSPEED.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\PRODUCT ASSISTANT\BIN\HPRBLOG.EXE

C:\ARCHIVOS DE PROGRAMA\AZUREUS\AZUREUS\AZUREUS.EXE

C:\ARCHIVOS DE PROGRAMA\SPROCES\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKLM\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [cFosSpeed] C:\Archivos de programa\cFosSpeed\cFosSpeed.exe

O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - E:\MIS DESCARGAS\PROGRAMAS\P2P\bitcomet\instalacion\BitComet\tools\BitCometBHO_1.1.7.4.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/DivXBrowserPlugin.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-6u2-windows-i586-jc.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {DE22A7AB-A739-4C58-AD52-21F9CD6306B7} (CTAdjust Class) - http://download.microsoft.com/download/7/E/6/7E6A8567-DFE4-4624-87C3-163549BE2704/clearadj.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Archivos de programa\cFosSpeed\spd.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: hardlock - Aladdin Knowledge Systems - C:\WINDOWS\system32\drivers\hardlock.sys

O23 - Service: Haspnt - Aladdin Knowledge Systems - C:\WINDOWS\system32\drivers\Haspnt.sys

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - E:\ARCHIVOS DE PROGRAMAS\3DSMax\mentalray\satellite\raysat_3dsmax9_32server.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

O23 - Service: SyGate for NT, wg3n (wg3n) - Sygate Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys

O23 - Service: SyGate for NT, wg4n (wg4n) - Sygate Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\wg4n.sys

O23 - Service: SyGate for NT, wg5n (wg5n) - Sygate Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\wg5n.sys

O23 - Service: SyGate for NT, wg6n (wg6n) - Sygate Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\wg6n.sys

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: catchme - Unknown owner - C:\DOCUME~1\CVS\CONFIG~1\Temp\catchme.sys (file missing)

O23 - Service: cFosSpeed Miniport (cFosSpeed) - cFos Software GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\cfosspeed.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: Logitech USB Monitor Filter (LVUSBSta) - Labtec Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LVUSBSta.sys

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Labtec WebCam(PID_0928) (PID_0928) - Labtec Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LV561AV.SYS

O23 - Service: Parallel Port Joystick Bus device driver (PPJoyBus) - Deon van der Westhuysen - C:\WINDOWS\SYSTEM32\drivers\PPJoyBus.sys

O23 - Service: Parallel Port Joystick device driver (PPortJoystick) - Deon van der Westhuysen - C:\WINDOWS\SYSTEM32\drivers\PPortJoy.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: SASENUM - SuperAdBlocker, Inc. - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: NDIS5.1 Miniport Driver for Marvell Yukon Gigabit Ethernet Adapter (yukonwxp) - Marvell Semiconductor Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\yukonwxp.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: vsdatant - Unknown owner - (file missing)

38 Servicios.

17 de Carga Automatica.

19 de Carga Manual.

2 Deshabilitados.

Mensaje por **msc hotline sat** » 19 Oct 2007, 21:01

Pues de este HRAMVNO.EXE no hay restos en el log, tampoco sabemos si dejó restos con otro nombre... Si guardó copia del mismo antes de borrarlo, envienoslo y lo analizaremos para poder eliminar restos o modificaciones que hiciera.

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Y no se aprecian otros ficheros sospechosos, por lo que salvo que nos diga que nos ha enviado el fichero indicado, si ya no presisten las dichosas ventanas, daremos el Tema por solucionado

Quedamos pendientes de sus noticias

saludos

ms, 19-10-2007

orbiasegui · Mensaje por **orbiasegui** » 19 Oct 2007, 22:47

Segui la ruta que me marco el AVG anti-rootkit y despues de tener que mostrar carpetas y archivos del sistema ocultos, cual fue mi sorpresa pues estos archivos seguian ocultos, :o , es decir, uno estaba en Configuracion local\Datos de programa\hramvno.exe, y el otro en carpeta Windows\Prefetch\HRANVNO.EXE-03BDD859.pf, y ninguno era visible al sistema, con lo que no los puedo enviar, pues ni siquiera pude pasarle el antivirus, con lo que me la jugue al no saber que iba a eliminar.

Por tanto, si no teneis mas que añadir, podeis dar por terminado el tema, y por supuesto agradecer el interes y la atencion y sobre todo, la rapidez de respuesta mostrada.Muchas gracias.Hasta otra. :D

Mensaje por **msc hotline sat** » 20 Oct 2007, 09:44

Es lo propio de los RootKit, esconden procesos, claves y ficheros y asi ni te enteras de que está en marcha (ni lo ves)

El pf dejalo, es un prefecth (extracto para lanzar mas rapico los EXE), pero este otro:

[i]~~[b]~~Configuracion local\Datos de programa\hramvno.exe[/b][/i]

mira de arrancar en modo seguro y copiarlo a un disquete para luego enviarnoslo, y si puedes, renombralo a extension .VIR para que no se ponga en marcha desde el proximo reinicio-

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 20-10-2007

orbiasegui · Mensaje por **orbiasegui** » 20 Oct 2007, 12:45

Ya os he enviado los archivos sospechosos, aunque no lo entiendo ya que estan catalogados como que son del Nero.

En fin, a ver si despues del analisis encontrais algo, lo cierto es que despues de eliminarlos con el AVG ya no aparecen mas las ventanitas de la publicidad.

Ahora la unica duda que me queda es que como es posible que un simple rootkit, de publicidad haya sido invisible al NOD32, al SPYBOT, al SUPERAntispyware, al SpywreBlaster y al Sygate personal firewall.

Si esto es tan facil, ¿que ocurrira si un bicho "gordo" se le antoja nuestro PC?.

Muchas gracias amigos.

Mensaje por **msc hotline sat** » 20 Oct 2007, 13:32

Si solo fuera esto..., pero los hay mas puñeteros, que combinan las caracteristicas de RootKit, con privigelios de ocultamiento de NTFS, y con arranque desde AppInit, y ...

lo que habremos de ver todavía !!!

El lunes analizaremos las muestras, pero por lo que dices pueden ser falsos positivos, y si ya no te salen las ventanas con lo eliminado por AVG, tanto mejor !

https://foros.zonavirus.com/detecciones-de-falsos-positivos-en-utilidades-de-evaluacion-vt19441.html

saludos

ms, 20-10-2007

Mensaje por **msc hotline sat** » 22 Oct 2007, 13:26

3 de los ficheros enviados son DAT, donde no hay virus, y el HRAMVNO recibido es un EX_ , empaquetado de microsoft, n o el que lanzaba en la clave:

[quote]Entrada Eliminada [HKCU\...\Run] "HRAMVNO"="c:\documents and settings\cvs\configuración local\datos de programa\hramvno.exe hramvno" [/quote]

que ya ha sido eliminado por el ELISTARA

Asi que igual antes tambien algo le ha borrado el EXE indicado, o no, pero ya sin la clave no será lanzado y dejará de incordiar.

Sin mas, reinicie y si ya no pesiste ninguna anomalia, daremos por solucionado el Tema

saludos

ms, 22-10-2007

orbiasegui · Mensaje por **orbiasegui** » 22 Oct 2007, 21:41

Entonces puedo eliminar esos archivos?

Mensaje por **lucl** » 22 Oct 2007, 22:15

Si te refieres a los enviados si, ya te ha dicho msc que no hay peligro, y dinos si esta bien tu pc y se puede dar el tema por solucionado, gracias , saludos

Mensaje por **msc hotline sat** » 23 Oct 2007, 06:57

Bueno, justamente porque no son peligrosos no haría falta borrarlos, solo decirnos si tras reiniciar ya no persisten anomalias, para dar por solucionado el Tema

saludos

ms, 23-10-2007

orbiasegui · Mensaje por **orbiasegui** » 23 Oct 2007, 18:56

Pues sigo usando el PC y no han vuelto a aparecer las ventanas de publicidad, con lo podemos dar poir solucionado el tema, agradeciendo vuestra dedicacion.MUCHAS GRACIAS.

Mensaje por **lucl** » 23 Oct 2007, 19:55

Pues entonces cerramos el post y lo damos por solucionado, saludos y vuelve cuando quieras

Mensaje por **msc hotline sat** » 23 Oct 2007, 19:55

Pues muy bien, lo celebramos y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 23-10-2007