pc infectado (SOLUCIONADO)

enia · Mensaje por **enia** » 28 Ene 2008, 15:55

Hola,

El pasado fin de semana mi portatil ha sido atacado por varios gusanos y virus. Se lo presté a alguien que pensó que tener un antivirus actualizado garantizaba toda seguridad, hasta que se vió incapaz de cerrarlo por la gran cantidad de pop up abriéndose. Seguramente mi antivirus lanzó algún aviso pero esta persona ni los vió(??).

Despues de escanear a fondo con mi antivirus y anti-spyware, pasé otros en web y para mi sorpresa, iban detectando cosas distintas. Cansada ya y despues de leer diversas entradas en este foro, como alguna otra vez he hecho, decidí pasar el hijackt, sin restauración activada y en modo seguro.

A continuación pego el log que me ha dejado para que por favor le echeis un vistazo y comenteis qué veis de raro o cómo puedo hacer una limpieza en condiciones.

Muchas gracias. Un saludo,

Enia

Logfile of HijackThis v1.99.1

Scan saved at 15:28:21, on 28/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\DOCUME~1\MARA~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tcm.ea.com/mvcard/navigation.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - C:\Archivos de programa\Video Add-on\isfmdl.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: IE Custom Tools - {8113B5DE-F7EB-4154-A311-497FB80D8BD0} - C:\Archivos de programa\Video Add-on\ictmdl.dll (file missing)

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\Hp\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: TMMonitor.lnk = C:\Archivos de programa\ArcSoft\TotalMedia\TMMonitor.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolgate.com/redirect.php (file missing)

O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolgate.com/redirect.php (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O15 - Trusted Zone: *.princast.es

O16 - DPF: {2882C368-D508-11D4-A2AB-000102598CE4} (LProtect Control) - http://download.globalhauri.com/Eng/online_service/livecall.cab

O16 - DPF: {2B1AA38D-2D12-11D5-AAD0-00C04FA03D78} (LocalExec Control) - http://portal.educastur.princast.es/nps/portal/gadgets/com.novell.nps.gadgets.shortcut.ShortcutGadget/LocalExec.CAB

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/es/securityadvisor/pestscan/pestscan.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www4.aeat.es/es13/h/cactivex.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5192/mcfscan.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs:

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ISSVC.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Mensaje por **msc hotline sat** » 28 Ene 2008, 16:06

Pues mira si puedes enviarnos estos ficheros para analizar:

C:\Archivos de programa\Video Add-on\isfmdl.dll

C:\Archivos de programa\Video Add-on\ictmdl.dll

recuerda: https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

y elimina estas claves:

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolgate.com/redirect.php (file missing)

O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolgate.com/redirect.php (file missing)

O15 - Trusted Zone: *.princast.es

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 28-1-2008

NOTA:

Aparte, prueba estas utilidades:

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del p

ms-.

enia · Mensaje por **enia** » 28 Ene 2008, 22:04

Hola,

Muchas gracias por responder tan rápido.

He buscado los ficheros que me pedís:

C:\Archivos de programa\Video Add-on\isfmdl.dll

C:\Archivos de programa\Video Add-on\ictmdl.dll

pero no los he encontrado por ninguna parte. He rastreado viendo archivos ocultos pero ni así, alguna sugerencia?

He eliminado las claves indicadas y pasado Elitriip y elistara obteniendo lo siguiente:

Mon Jan 28 20:50:27 2008

EliTriIP v4.31 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Jan 28 20:51:57 2008

EliTriIP v4.31 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Hp\Digital Imaging\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Archivos de programa\Hp\Temp\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Mis Programas\NOMINAS\AUTORUN.INF --> Eliminado, BackDoor.CMQ(inf)

C:\SWSETUP\BTOOTH\Autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\SWSETUP\DVD\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\SWSETUP\SonicDMP\MYDVD_613\AUTORUN.INF --> Eliminado, BackDoor.CMQ(inf)

Nº Total de Directorios: 7176

Nº Total de Ficheros: 88796

Nº de Ficheros Analizados: 14452

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6

Mon Jan 28 21:11:53 2008

EliStartPage v15.52 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\María\Favoritos\Online Security Test.url --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jan 28 21:12:40 2008

EliStartPage v15.52 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Sonic Shared\AUDIOPLAYER.DLL --> Eliminado, WinAntiVirus Pro 2006

C:\Archivos de programa\Microsoft Works\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Archivos de programa\Microsoft Works\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\SWSETUP\MSWorks\SP\PFiles\MSWorks\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\SWSETUP\MSWorks\SP\PFiles\MSWorks\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

Nº Total de Directorios: 7155

Nº Total de Ficheros: 87064

Nº de Ficheros Analizados: 15905

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5

A ver qué os parece.

Un saludo,

Enia

Mensaje por **flacoroo** » 28 Ene 2008, 22:52

pero no nos dices como te va si tu problema se resolvio o sigues con algo.....

Mensaje por **msc hotline sat** » 29 Ene 2008, 06:41

El que nuestras utilidades no los hayan detectado puede que sea por no conocerlos, pero no pintan bien los ficheros que no encuentra... Pueden tener atributo de sistema y si no desmarca la opcion de ocultarlo, no poder verlos (no solo el ver ficheros ocultos...):

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

Sophos ofrece esta descripcion para un troyano que utiliza dichos nombre de ficheros :

[quote]Troj/Bravo-D is a Trojan for the Windows platform.

When Troj/Bravo-D is installed the following files are created:

<Current Folder>\isfmdl.dll - detected as Troj/Bravo-D

<Current Folder>\isfmm.exe - detected as Troj/Bravo-D

The following registry entry is created to run Troj/Bravo-D on startup:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run

start

<pathname of the Trojan executable>

The file isfmdl.dll is registered as a COM object and Browser Helper Object (BHO) for Microsoft Internet Explorer, creating registry entries under:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B499D34E-58EF-4927-AB9F-7AF52B2C4C82}

HKCR\CLSID\{B499D34E-58EF-4927-AB9F-7AF52B2C4C82}

Troj/Bravo-D changes settings for Microsoft Internet Explorer, including search settings, by modifying values under:

HKCU\Software\Microsoft\Internet Explorer\Search\

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page[/quote]

o bien los ha eliminado con alguna otra utilidad, olvidandose de eliminar las claves que los lanzaban..., pues sino el ELISTARA parece que le hubiera pedido muestra, como se ve en otro infosat que menciona dichos ficheros:

[quote]EliStartPage v15.49 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

.

Por favor, envienos una muestra del fichero

C:\Muestras\ISFMDL.DLL.Muestra EliStartPage v15.49

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ONLINE ADD-ON\ISFMDL.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\ICTMDL.DLL.Muestra EliStartPage v15.49

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ONLINE ADD-ON\ICTMDL.DLL --> Eliminado [/quote]

Asi que asegurese de no tenerlos, (vea lo del atributo de sistema) y si se reafirma en ello, y, como pregunta flacoroo, no persisten ya las anomalias, nos lo indica y daremos el Tema por solucionado, gracias

saludos

ms, 29-1-2008

enia · Mensaje por **enia** » 29 Ene 2008, 18:54

Hola de nuevo,

Por más que busco no encuentro esos archivos, incluso viendo ocultos. Solo me constan en algunos logs de los antivirus en red que había pasado y otro de dr watson. Este fin de semana, con el atacaque, vi que se había creado una carpeta llamada Videoadd, aún la tengo pero está vacia.

Por otro lado, mi portatil en apariencia funciona bien. No me aparecen emergentes y no me ha vuelto a cambiar la página de inicio. Lo único raro es que al encender el ordenador, el antivirus me avisa de que está desactivado la seguridad para "sotware de publicidad no deseada y software espia" y el filtrado de spam para correo saliente. Lo activo y así se mantiene hasta que vuelvo a encender el ordenador.

No se si tiene algo que ver pero al pasar cualquier antivirus, el archivo que más tarda y con diferencia es:

C:\WINDOWS\system32\wbem\stdprov.dll

Y que esta navidad mi portatil también se vió infectado con el audiohq, pero creí haberlo resuelto con el antivirus ya hace semanas pues no me dió más la lata.

Saludos,

Enia

Mensaje por **msc hotline sat** » 29 Ene 2008, 18:58

Pues si no los encuentra de ninguna forma y el ordemador se comporta normal, damos el Tema por solucionado y procedemos a cerrarlo

Si nos necesitara de nuevo, ya sabe donde estamos

saludos

ms, 29-1-2008

NOTA: Respecto a la DLL stdprov.dll , es una librería que está en muchas webs de descarga de internet, si le da problemas puede sobreescribirla por una de nueva descarga, no fuera que se hubiera dañado. ms.