[AYUDA] No sabria como definir el problema

[elturko]

Hoy a la mañana intenté abrir mi MSN como todas las mañanas, y no me conectaba, me tiraba un numero de error, probé abrir el MSN en otra pc del cyber, y funcionó lo mas bien, luego de un no muy larga busqueda, encontré un programa instalado, medio raro, en vez de tener un nombre, tenia simbolos, supuse que era un virus, y tambien, como comente antes, mi compañiero de trabajo es u nene, que le gusta mandarse cagadas, hablando mal y pronto.



Ejecute el Elistara, me detecto un troyano "...Eliminado troyano..." Pero no me dijo cual es, acontinuacion dejo el LOG.



Mon Nov 28 11:12:49 2005

EliStartPage v15.14 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\CPUSH.DLL.Muestra EliStartPage v15.14

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\CPUSH\CPUSH.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\PCTOOLS.DLL.Muestra EliStartPage v15.14

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\PCTOOLS\PCTOOLS.DLL --> Eliminado

Eliminada Class, "{11F09AFD-75AD-4E51-AB43-E09E9351CE16}" -> C:\Archivos de programa\Archivos comunes\CPUSH\cpush.dll

Eliminada Class, "{34A12A06-48C0-420D-8F11-73552EE9631A}" -> C:\Archivos de programa\Archivos comunes\CPUSH\cpush.dll

Eliminada Class, "{385AB8C6-FB22-4D17-8834-064E2BA0A6F0}" -> C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll

Eliminada Class, "{CDE9EB54-A08E-4570-B748-13F5DDB5781C}" -> C:\Archivos de programa\Archivos comunes\CPUSH\cpush.dll

Eliminado Servicio, "svchost"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Nov 28 11:15:10 2005

EliStartPage v15.14 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3822

Nº Total de Ficheros: 66515

Nº de Ficheros Analizados: 10982

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







A la espera de una pronta respuesta, saludo atte.

[flacoroo]

si sabe que tiene programas no autorizados o instalados por usted, eliminelos y tambien mande el archivo que se le pide, comprimalo y le pone la contraseña virus y mandelo a zonavirus@satinfo.es haciendo referencia su post...



archivo a mandar:

Por favor, envienos una muestra del fichero

C:\Muestras\CPUSH.DLL.



no se le olvide actualizar su SO con windowsupdate ya que le hace falta algunos parches....

[msc hotline sat]

Pero son dos los que hace falta enviar:


[quote]Por favor, envienos una muestra del fichero

C:\Muestras\CPUSH.DLL.Muestra EliStartPage v15.14



Por favor, envienos una muestra del fichero

C:\Muestras\PCTOOLS.DLL.Muestra EliStartPage v15.14 [/quote]

de la forma que ha indicado flacoroo:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 28-11-2007

[elturko]

Ya fueron enviados los ficheros, saludo atte. a la espera de una pronta respuesta.



Gracias.

[msc hotline sat]

Cuando lleguemos al trabajo espero encontrarlos y los analizaremos informando como siempre.



saludos



ms, 29-11-2007

[msc hotline sat]

Recibidos y analizados, pasamos a implementar su control y eliminacion en el ELISTARA de hoy 15.16, que estará disponible en esta web, para descargas de evaluacion en el foro de zonavirus, a partir de las 18 horas GMT



saludos



ms, 29-11-2007

[elturko]

Perdon, como es el tema de los horarios? Soy de Argentina, a que hora de aqui, podria descargar el archivo?



Gracias.

[msc hotline sat]

Si no me equivoco en Argentina son las 12:25 y aqui las 16:25. o sea que nos llevamos 4 horas (sois 4 horas mas jovenes) :wink:



Pues las 18 GMT son serán las 19 en España y 4 horas menos, las 15 en Argentina, esto es, a tus 3 de la tarde :lol:



saludos



ms, 29-11-2007

[elturko]

Se acuerdan que comente de un programa que en vez de un nombre tenia unos simbolos... Bueno lo encontré! Esta instalado en el msn, dejo 2 imagenes, asi quizas, puedan reconocerlo.



http://img100.imageshack.us/img100/2402/78634574dm4.png



http://img122.imageshack.us/img122/4613/47480746ou3.png



Son dos iconos...



De todas formas, voy a esperar a que salga la nueva version del Elistara, para postear el log.

[msc hotline sat]

Ahora miro los links, primero decirte que ya está subida la version 15.16 del ELISTARA



Miro las imagenes que dices y sigo...



saludos



ms, 29-11-2007

[elturko]

Paso a explicar, ejecute el Elistara, reinicie, cuando la pc, vuelve del reinicio, me sale un mensaje de error de rundll32.exe



Dejo los Logs del Elistara:





Thu Nov 29 14:42:35 2007

EliStartPage v15.16 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PCTOOLS.DLL.Muestra EliStartPage v15.16

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\PCTOOLS\PCTOOLS.DLL --> Eliminado

Eliminada Class, "{385AB8C6-FB22-4D17-8834-064E2BA0A6F0}" -> C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Logfile of HijackThis v1.99.1

Scan saved at 15:05:43, on 29/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)





Tambien dejo un LOG del HiJAckThis:



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\d9a71.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

C:\Archivos de programa\SiteAdvisor\6172\SAService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Venturi2\Client\ventc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe

C:\Archivos de programa\Softwin\BitDefender10\vsserv.exe

C:\Archivos de programa\Softwin\BitDefender10\bdagent.exe

C:\WINDOWS\vsnpstd.exe

C:\Archivos de programa\SiteAdvisor\6172\SiteAdv.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Venturi2\Configurator\ventcfg.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\LPerri\CiberControl 5.0 PRO\Control.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX01.766\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 127.01.01 http://www.apple.com

O1 - Hosts: 200.51.255.3 L2authd.lineage2.com

O1 - Hosts: 200-51-255-3.speedy.com.ar:2106 L2authd.lineage2.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6172\SiteAdv.dll

O2 - BHO: Invoke Class - {5FB8C5D4-929F-4870-89E2-7E3EE26EE701} - C:\WINDOWS\system32\9d91.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6172\SiteAdv.dll

O4 - HKLM\..\Run: [BDMCon] "C:\Archivos de programa\Softwin\BitDefender10\bdmcon.exe" /reg

O4 - HKLM\..\Run: [BDAgent] "C:\Archivos de programa\Softwin\BitDefender10\bdagent.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [upxdnd] C:\WINDOWS\upxdnd.exe

O4 - HKLM\..\Run: [DbgHlp32] C:\WINDOWS\DbgHlp32.exe

O4 - HKLM\..\Run: [load] C:\WINDOWS\uninstall\rundl132.exe

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\6172\SiteAdv.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - Startup: hamachi.lnk = C:\Archivos de programa\Hamachi\hamachi.exe

O4 - Startup: Xfire.lnk = C:\Archivos de programa\Xfire\xfire.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Venturi 2.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6172\SiteAdv.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: McAfee Real-time Scanner (McShield) - Unknown owner - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe (file missing)

O23 - Service: McAfee SystemGuards (McSysmon) - Unknown owner - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe (file missing)

O23 - Service: NBService - Unknown owner - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe (file missing)

O23 - Service: NMIndexingService - Unknown owner - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Servicio SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Archivos de programa\SiteAdvisor\6172\SAService.exe

O23 - Service: Venturi2 Client (Venturi2) - Fourelle Systems, Inc - C:\Program Files\Venturi2\Client\ventc.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender10\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)







Por el tema del los 2 iconos "raros" en el MSN, voy a reinstalar el programa, y ver que pasa.





Saludo muy atte. a la espera de una pronta respuesta.

[msc hotline sat]

Tienes esta clave condicionando que no puedas ir a apple.com, eliminala:



O1 - Hosts: 127.01.01 http://www.apple.com





y envianos estos ficheros para analizar:



C:\WINDOWS\upxdnd.exe



C:\WINDOWS\DbgHlp32.exe



C:\WINDOWS\uninstall\rundl132.exe (fijate que dice RUNDL132, no RUNDLL32 ...)





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334







Y tienes MCAfee y Bit Defender instalados, desinstala uno de los dos, mejor quita el Bit Defender, claro !



saludos



ms, 29-11-2007

[flacoroo]

tambien manda este archivo para que lo analizen ya que no encontre referencia de el en ninguna parte



C:\WINDOWS\system32\d9a71.exe



Para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[elturko]

Las muestras seran enviadas a la brevedad, el mensaje de erro era el siguiente, "...Error al cargar C:\WINDOWS\ system32\ dinput0.dll ..."



"... No se puede encontrar el modulo especificado..."



Aparte, a esos dos archivos no pude encontrarlos:



C:\WINDOWS\upxdnd.exe



C:\WINDOWS\uninstall\rundl132.exe (fijate que dice RUNDL132, no RUNDLL32 ...)







Como elimino el HOTS?

[msc hotline sat]

La eliminacion de claves te lo decimos en el link que te dimos:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y como que la DLL indicada no aparece en el HJT:



dinput0.dll



y la informacion de PREV es que se trata de un fichero de microsoft:




[quote]DINPUT0.DLL

File Names Used: 1

Paths Used: 1

Common File Name: DINPUT0.DLL

Common Path: %WINDIR%\SYSTEM32\

Vendor Information: Microsoft Corporation

Product Information: Microsoft DirectInput

Version Information: 5.03.2600.2180

File Name Structure: Normal

File and Path Structure: Normal

2. RELATIONSHIP ANALYSIS OF: DINPUT0.DLL

No relationship details available for this object

3. ACTIVITY ANALYSIS OF: DINPUT0.DLL

No activity has yet been observed for this object

4. PROPAGATION ANALYSIS OF: DINPUT0.DLL

Object Propagation Rate: Very Low (minimal spread)

Copyright Prevx Limited 2005, 2006
[/quote]

No es plan eliminar la clave del registro que podriamos encontrar con el BUSCAREG, sino REPARAR el sistema para restaurar el fichero borrado:




[quote="para REPARAR WINDOWS, msc"]

Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]





y para los ficheros que dices no encontrar, recuerda:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245





saludos



ms, 29-11-2007

[msc hotline sat]

Recibidos dos ficheros , uno es un troyano BHO y el otro un PWS, que pasan a ser controlados por el ELISTARA de hoy 15.18



Esta noche pruebala y nos informas del resultado:


[quote]http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 3-12-2007