Amenaza restart.exe (SOLUCIONADO)

max222 · Mensaje por **max222** » 08 Nov 2007, 03:27

Hola a todos, soy nuevo en el foro y busco una pequeña ayuda con este problema: analice mi pc con panda online y me dice que tengo una infección en C:/windows/system32/tools/restart.exe, realmente no tengo idea de que es esto. Dejo adjunto lo que me dio el analisis con HJT.

Logfile of HijackThis v1.99.1

Scan saved at 11:07:34 p.m., on 07/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Spyware Doctor\sdhelp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\pctspk.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spyware Doctor\swdoctor.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\MatheoyBenja\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Archivos de programa\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de HP Photosmart Premier.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

Por favor si alguien puede ayudarme se los agradeceria mucho.

Mensaje por **msc hotline sat** » 08 Nov 2007, 06:29

El log está limpio.

Este fichero RESTART.EXE puede ser una aplicacion potencialmente peligrosa, que algunos virus como el Aladinz instalan:

http://www.enciclopediavirus.com/virus/vervirus.php?id=689

pero si solo detectas esto, renombra dicho fichero RESTART.EXE a RESTART.VIR y la proxima vez que arranques, si algo lo usa, ya no lo encontrará, pero veamos si todo lo demas te funciona, sino de momento vuelves a renombrarlo a su extension original (arrancando en modo seguro podrías) y nos envias dicho fichero que lo analizariamos para ver de donde ha salido...

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

voy a buscar al respecto algo mas por ahi ...

Pues sí, usando el buscador del foro he visto:

[quote]Tue Jul 11 16:39:41 2006

EliStartPage v12.05 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\XP Codec Pack\UNINSTALL.EXE --> AutoExtraible

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart

C:\WINDOWS\system32\Tools\RESTART.EXE --> Eliminado, Restart[/quote]

Prueba pues el ELISTARA:

[quote]http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

SALUDOS

MS, 7-11-2007

max222 · Mensaje por **max222** » 09 Nov 2007, 03:12

Muchas gracias por la respuesta en tan corto tiempo, analice con el elistara los datos son estos:

Thu Nov 08 23:01:11 2007

EliStartPage v14.99 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "mchInjDrv"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminados Ficheros Temporales del IE

Thu Nov 08 23:02:38 2007

EliStartPage v14.99 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\On-line Help Console\INFOVIEW.EXE --> Eliminado, Spy.Delf (BHO)

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\spool\drivers\w32x86\hpphotosmart_c4100_s3698\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart

C:\WINDOWS\system32\Tools\RESTART.EXE --> Eliminado, Restart

Nº Total de Directorios: 2800

Nº Total de Ficheros: 22265

Nº de Ficheros Analizados: 9765

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5

Realmente no se que es esto si pudieran explicarme se los agradeceria enormemente asi aprendo sobre estas infecciones.

Muchas garcias por su preocupación.

Mensaje por **msc hotline sat** » 09 Nov 2007, 06:58

Pues efectivamente, tenía varios troyanos, entre ellos el MoviePass, el Restart y el SpyDelf, los cuales pudo adquirir al navegar por internet, entrar en webs peligrosas, probar porgramas aparentemente buenos, etc.

Le aconsejamos instale el SiteAdvisor de McAfee (gratuito) para saber la clasificacion de las webs antes de entrar en ellas:

http://www.siteadvisor.com

Vea si tras reiniciar el ordenador se comporta normalmente o persiste alguna anomalia, y diganoslo, para obrar en consecuencia

saludos

ms, 9-11-2007

max222 · Mensaje por **max222** » 10 Nov 2007, 14:00

Muchas gracias por sus consejos me fueron de gran utilidad.

Aparentemente no sucede nada raro cuando enciendo mi pc y siguiendo sus consejos ya descargue el siteadvisor.

Una pregunta mas, ¿es recomendable hacer correr el HJT y Elistara periodicamente?

Nuevamente gracias por su tiempo y recomendare esta pagina a todos mis conocidos.

Mensaje por **msc hotline sat** » 10 Nov 2007, 18:22

El HJT de nada le sirve por sí solo, solo es para analizarlo en caso de que lo demas no encuentre nada:

https://foros.zonavirus.com/viewtopic.php?f=13&t=5148

y el ELISTARA puede descargar la ultima version cuando note ralentizacion, o anomalias, pero siempre descarguie la ultima version antes de probarlo (se actualiza a diario)

Y dando por solucionado el problema, procedemos a cerrar el tema

saludos

ms, 10-11-2007