Trojan Horse Dropper.Agent.GIT (SOLUCIONADO)

jackomo · Mensaje por **jackomo** » 19 Ene 2008, 21:31

Hola, siempre que enciendo el ordenador AVG me detecta Trojan Horse Dropper.Agent.GIT, lo elimina pero al arrancar sale de nuevo, sabe alguien como lo puedo eliminar??

muchas gracias

Mensaje por **lucl** » 19 Ene 2008, 22:07

pues desactivando la restauracion del sistema ve a

inicio-------mi pc boton derecho del raton -------propiedades------restaurar sistema

lo desactivas inicias el pc en modo seguro y pasas tu antivirus , reinicias ya en modo normal y nos cuentas si lo conseguiste, saludos

jackomo · Mensaje por **jackomo** » 19 Ene 2008, 22:50

perdona pero uso el vista no veo lo que me dices,siento mi ignoranca os paso el log por si acaso

Logfile of HijackThis v1.99.1
Scan saved at 22:24:34, on 19/01/2008
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Running processes:

Código: Seleccionar todo

C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9e.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Users\sergio\AppData\Local\Temp\Rar$EX00.961\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=73&bd=Presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=73&bd=Presario&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F3 - REG:win.ini: load=C:\Users\sergio\AppData\Local\Temp\hggfc.exe
O1 - Hosts: ::1 localhost
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [DPService] "C:\Program Files\HP\DVDPlay\DPService.exe"
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\sergio\AppData\Local\Temp\hggfc.dll,c
O4 - HKCU\..\Run: [d8c0e2e5] rundll32.exe "C:\Users\sergio\AppData\Local\Temp\gsdpbykm.dll",b
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_15\bin\npjpi142_15.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_15\bin\npjpi142_15.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O13 - Gopher Prefix: 
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://javadl-esd.sun.com/update/1.4.2/jinstall-1_4-windows-i586.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49CE668B-01E8-419B-9C08-698512F275BC}: NameServer = 80.58.61.250 80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{49CE668B-01E8-419B-9C08-698512F275BC}: NameServer = 80.58.61.250 80.58.61.254
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

muchas gracias

Mensaje por **msc hotline sat** » 20 Ene 2008, 08:46

No damos soporte al VISTA en este foro, por los problemas y exigencias de privilegios, (afortunadamente el VISTA tiene las horas contadas: http://www.zonavirus.com/noticias/2008/ ... n-2009.asp) pero ya que has posteado el log, vemos:

C:\Users\sergio\AppData\Local\Temp\hggfc.exe
C:\Program Files\HP\DVDPlay\DPService.exe
C:\Users\sergio\AppData\Local\Temp\hggfc.dll
C:\Users\sergio\AppData\Local\Temp\gsdpbykm.dll

No conocemos estos ficheros, puede que sea porque alguno sea de VISTA o de aplicaciones, como los dos primeros, pero los dos últimos huelen a VUNDO, uno de los virus de moda mas pesados...

Si quieres puedes enviarnoslo y los analizaremos e informaremos

saludos
ms, 20-1-2008

NOTA: -> Para ello recordar: viewtopic.php?f=2&t=45334

jackomo · Mensaje por **jackomo** » 20 Ene 2008, 13:25

gracias por contestar los archivos q me dices de mendarte no los veo deben estar ocultos y no se como se ven, estuve mirando en el foro pero solo veo para xp 98 etc

tbm te mando unos errores q salen al hacer el log

muchas gracias.

voy a reiniciar y te cuento pq sale uno de los errores que comentabas al iniciar el vista

jackomo · Mensaje por **jackomo** » 20 Ene 2008, 14:06

y este es el error q da al principio al encender el pc

muchas gracias.

Mensaje por **msc hotline sat** » 20 Ene 2008, 18:39

Es la segunda vez que veo esto de que no deja escribir en el HOSTS..., igual es porque es VISTA ???

Pues abre una ventana al DOS, y ejecuta un

ATTRIB \<nombre del fichero.extension> /s

para cada uno de los ficheros que dices no encontrar, asi sabrás si están y los atributos que tienen, para liberarlos y poder acceder a ellos para enviarnoslos.

A la vista de dichos ficheros te informaremos.

saludos
ms, 20-1-2008

Mensaje por **msc hotline sat** » 20 Ene 2008, 18:44

Sí, el otro caso tambien era VISTA !!!

Será cosa de sus exigencias y privilegios.

Miraremos los ficheros que nos envias, si son de VISTA los aparcaremos, y si no, procederemos a su examen e informaremos

saludos

ms, 20-1-2008

jackomo · Mensaje por **jackomo** » 20 Ene 2008, 20:02

de estos 4 archivos me dice q no encuentra la ruta de acceso

C:\Users\sergio\AppData\Local\Temp\hggfc.exe
C:\Program Files\HP\DVDPlay\DPService.exe
C:\Users\sergio\AppData\Local\Temp\hggfc.dll
C:\Users\sergio\AppData\Local\Temp\gsdpbykm.dll

lo q veo q hace es q abre ventanas del explorer por lo demas parece todo normal y si lo quito con el HijackThis ??

gracias

Mensaje por **msc hotline sat** » 20 Ene 2008, 20:21

Sin saber lo que son, no los elimines, pueden ser criticos para el buen funcionamiento ... ???

Si no estan, tampoco pasa nada si hay las claves, es basura sin consecuencias.

Pero estas seguro que si vas a esta ruta:

C:\Program Files\HP\DVDPlay\

y entras ATTRIB DPService.exe

no te ofrece ningun resultado ???

Si es asi, dejalos, pero de todas formas, y a pesar de ser VISTA, mira si puedes probar el ELISTARA, arrancando en modo seguro y:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
ELINOTIF.DLL
http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminación y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 20-1-2008

jackomo · Mensaje por **jackomo** » 22 Ene 2008, 21:52

Buenas

Le pase el ELISTARA y me detecto algun error, no se si sera por eso pero el antivirus ya no detecta nada y no veo nada raro de ventanas emergentes en el expplorer, eso si tdv al arrancar el pc salen los errores ya mencionados, os paso el infosat por si le queréis echar un vistazo.

muchas gracias.

Sun Jan 20 21:10:18 2008
EliStartPage v15.47 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
D:\DESKTOP.INI --> Eliminado (Fichero Complementario).
No ha sido posible abrir IERESET.INF
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Sun Jan 20 21:10:29 2008
EliStartPage v15.47 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Adobe\Acrobat 5.0\Reader\plug_ins\ImageViewer\Lib\SVGBIB.DLL --> Eliminado, NetNucleus(BHO/TB)
C:\Program Files\PC Tools Firewall Plus\HELPER.DLL --> Eliminado, PWS-WoW
C:\Program Files\Roxio\VideoCore 9\VCPTRANSANIMATED3D.DLL --> Eliminado, AdClicker.BJ(BHO)

Nº Total de Directorios: 10947
Nº Total de Ficheros: 75713
Nº de Ficheros Analizados: 17414
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 3

Mensaje por **msc hotline sat** » 23 Ene 2008, 07:09

Bien, pues el ELISTARA hizo su faena

Y ya que nos indica que el antivirus ya no detecta nada, damos solucionado el problema, y procedemos a cerrar el Tema

saludos

ms, 23-1-2008