problema al iniciar

robercio1981 · Mensaje por **robercio1981** » 01 Feb 2008, 18:48

hola a todos,tengo un problema ke espero me podais solucionar.

resulta ke al encender hoy el ordenador,despues de salir la pantalla de bienvenida cuando me sale el escritorio se keda la pantalla colgada ,el puntero del mouse le puedo mover pero no puedo clickear nada,y tambien puedo presionar el supr+ctrl+alt y sacar el administrador de tareas pero no puedo seleccionar nada.alguna vez consigo ke me funcione al dejar un segundo o dos el boton azul del pc sin dejarle mas tiempo porke sino se me apaga el ordenador.es muy raro porke ayer cuaando apague el pc funcionaba bien y ke yo sepa no instale nada raro.

os voy a dejar el hijackthis por si os vale de algo,es este:

Logfile of HijackThis v1.99.1

Scan saved at 18:34:21, on 01/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\commomds.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Opera\Opera.exe

C:\Archivos de programa\emule\emule.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\DVD Shrink\DVD Shrink 3.2.exe

D:\ROBERTO\programas\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telefonica.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Archivos de programa\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191769960968

O17 - HKLM\System\CCS\Services\Tcpip\..\{6AC1DAE6-6FFA-4383-8347-9AFFE7EB21EA}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Windows Accounts Driver (WindowsRemote) - Unknown owner - C:\WINDOWS\system32\commomds.exe

muchas gracias de antemano y un saludo

Mensaje por **msc hotline sat** » 01 Feb 2008, 19:10

Ahí tienes el posible causante:

~~[b]~~[i]C:\WINDOWS\system32\commomds.exe[/i][/b]

de momento renombra la extension de dicho fichero a .VIR y tras reiniciar ya no se pondrá en marcha.

Tras ello envianoslo para analizar:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y una vez monitorizado implementaremos su control y eliminacion , si procede, en nuestras utilidades, de lo cual informaremos.

saludos

ms, 1-2-2008

NOTA: Posiblemente sea una variante del ONLINE GAME, tan habitual en estos días:

[quote="McAfee"]Nombre completo: PWSteal.W32/OnlineGames.e!c5e557dd@VULN

Tipo: [PWSteal] - Troyano que roba contraseñas u otros datos confidenciales del sistema infectado

Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003

Mecanismo principal de difusión: [VULN] - Se difunde aprovechando alguna vulnerabilidad, tipicamente de servicios de red.

Alias:PWS-OnlineGames.e!c5e557dd (McAfee)

Detalles

Método de Infección/Efectos

PWSteal.W32/OnlineGames.e!c5e557dd@VULN llega al sistema comprometido al visitar la siguiente página web maliciosa:

http://n.uc8010.com/[removed].htm

Copia los siguientes ficheros en el sistema comprometido:

%Temp%\commomds.exe

%Windows%\System32kb1111p.dll

Nota: %Temp% es una variable que se corresponde con la carpeta de archivos temporales del usuario, que por defecto se corresponde con C:\Documents and Settings\USERNAME\Local Settings\Temp.

%Windows% indica el directorio de instalación del sistema Windows que por defecto se corresponde con C:\Windows o C:\Winnt.

La librería DLL la inyecta en el proceso explorer.exe del sistema Windows.

PWSteal.W32/OnlineGames.e!c5e557dd@VULN roba las contraseñas de diversos juegos en línea entre los que se encuentran los siguientes:

Lord of the Rings Online

World of Warcraft

Método de Propagación

PWSteal.W32/OnlineGames.e!c5e557dd@VULN se propaga explotando las vulnerabilidades siguientes:

Ejecución de código a través de Microsoft Data Access Components (MS06-14).

Vulnerabilidad en RealPlayer. [/quote]

Ya controlamos muchas variantes del mismo con el ELISTARA, pruebalo por si ya lo controlara, y posteanos el infosat.txt resultante:

[quote]http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

ms.

robercio1981 · Mensaje por **robercio1981** » 01 Feb 2008, 20:30

ya tuve otro problema de otro tipo otra vez y me dijeron lo mismo sobre este archivo,me dijeron lo mismo ke lo enviara y todo eso,pero no pude acabar con el,pero bueno solucione el problema ke no era por cierto por ese archivo,por tanto el commonds ese lo tengo desde hace varios meses y hasta hoy no me habia pasado nada.

sinceramente no creo ke sea de eso,mas bien yo creo ke debe ser otro

robercio1981 · Mensaje por **robercio1981** » 01 Feb 2008, 20:41

le he pasado el elistara y este es el infosat:

Wed Oct 10 18:06:14 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SUCHSPUR.DLL --> Stud.C(BHO) Renombrado a .VIR

Eliminada Class, "{5D945E9A-DC10-4670-83EB-99DAA616628A}" -> C:\WINDOWS\system32\Suchspur.dll

Eliminada Carpeta "%Archivos de Programa%\Gaov"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Oct 10 18:08:23 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Roberto\Menú Inicio\Programas\Inicio\POWERREG SCHEDULER.EXE --> Eliminado, PowerReg

C:\WINDOWS\system32\CMDLINEEXT03.DLL --> Acceso Denegado, Spy-CmdLineExt

C:\WINDOWS\system32\SINTF32.DLL --> Eliminado, Spy-CmdLineExt

C:\WINDOWS\system32\SINTFNT.DLL --> Eliminado, Spy-CmdLineExt

C:\WINDOWS\system32\SUCHSPUR.DLL.VIR --> Eliminado, Stud.C(BHO)

Wed Oct 10 18:11:50 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

Wed Oct 10 18:11:54 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Wed Oct 10 18:13:48 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\CMDLINEEXT03.DLL.VIR --> Acceso Denegado, Spy-CmdLineExt

Wed Oct 10 18:18:59 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Oct 10 18:19:19 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\CMDLINEEXT03.DLL.VIR.VIR --> Eliminado, Spy-CmdLineExt

Fri Oct 12 15:18:01 2007

EliTriIP v3.99 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\HACKER.COM.CN.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "WindowsServicesStartup"="C:\DOCUME~1\Roberto\CONFIG~1\Temp\svchost.exe 1"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Fri Oct 12 15:18:12 2007

EliTriIP v3.99 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Rename It 3.1.1 D(Renombrador De Archivos) updated-fixed 08-2007\Setup.exe --> Eliminado, Puce

C:\Archivos de programa\Telefonica\KitAIM\InstaladoresUsb1.5\Comtrend2\IPoA\AUTORUN.INF --> Eliminado, BackDoor.CMQ(inf)

C:\Archivos de programa\Telefonica\KitAIM\InstaladoresUsb1.5\Comtrend2\PPPoE\AUTORUN.INF --> Eliminado, BackDoor.CMQ(inf)

Fri Oct 12 15:20:33 2007

EliTriIP v3.99 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\ROBERTO\musica\Universal Progressive 2006 2CD by DJ SPANIEL Dance Trance Radical Fabrik Dj Napo Alex trackone\Setup.exe --> Eliminado, Puce

Fri Feb 01 20:30:28 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "WindowsRemote"

Linea Eliminada del HOSTS --> 127.0.0.1 update.asdf.cn

Linea Eliminada del HOSTS --> 127.0.0.1 msg.asdf.com

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Feb 01 20:33:56 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\IPUNINST.EXE --> Infectado, Keylog-Briss

C:\WINDOWS\system32\COMMOMDS.EXE --> Infectado, PSW.Agent.IU

C:\WINDOWS\system32\SINTF32.DLL --> Infectado, Spy-CmdLineExt

C:\WINDOWS\system32\SINTFNT.DLL --> Infectado, Spy-CmdLineExt

Nº Total de Directorios: 3723

Nº Total de Ficheros: 46622

Nº de Ficheros Analizados: 13288

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 0

Fri Feb 01 20:38:58 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 153

Nº Total de Ficheros: 1545

Nº de Ficheros Analizados: 169

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

no he borrado nada por si acaso la cago mas

Mensaje por **msc hotline sat** » 01 Feb 2008, 21:10

Bueno, pues ya puede ver que ya lo detectamos :

[quote]Fri Feb 01 20:33:56 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\IPUNINST.EXE --> Infectado, Keylog-Briss

C:\WINDOWS\system32\COMMOMDS.EXE --> Infectado, PSW.Agent.IU

C:\WINDOWS\system32\SINTF32.DLL --> Infectado, Spy-CmdLineExt

C:\WINDOWS\system32\SINTFNT.DLL --> Infectado, Spy-CmdLineExt [/quote]

pero si tiene desactivada la eliminacion automatica y no acepta cuando se le pide si quiere eliminar los ficheros que detectamos..., se va a quedar con los problemas :lol:

Tiene lo indicado inicialmente, visible en el log del HJT y otras hierbas..., que no muestra dicho log, pero conoce la utilidad, asi que si quiere, obre en consecuencia aceptando la eliminacion.

saludos

ms, 1-2-2008

NOTA: y si quiere, antes suba estos ficheros al VirusTotal para confirmar que son malwares...

https://www.virustotal.com/es/

ms-.

robercio1981 · Mensaje por **robercio1981** » 01 Feb 2008, 21:22

he vuelto a pasar el elistara y e eliminado los archivos,3 de los 4 ke habia porke como he dicho antes el commods no se puede,pero bueno ese archivo nunca me ha dado problemas.

ahora solo keda reiniciar y ver si sigue el problema,pero tengo miedo de ke lo reinicie y no vuelva a funcionar asike creo ke me esperare a mañana por si acaso no funciona llevarlo a arreglar.

muchas gracias por vuestra ayuda y espero no tener ke contestar otra vez(eso significaria la solucion al problema).

Mensaje por **msc hotline sat** » 01 Feb 2008, 21:26

De acuerdo, pero no pierde nada subiendo este fichero C:\WINDOWS\system32\COMMOMDS.EXE al virustotal, para que lo escaneen los 32 antivirus actualizados, y asi saldremos de dudas:

https://www.virustotal.com/es/

pulsa en ~~[b]~~[i]EXAMINAR[/i][/b], lo selecciona con doble click y luego pulsa en ~~[b]~~[i]ENVIAR ARCHIVO[/i][/b]

Y NOS POSTEA EL RESULTADO, GRACIAS

saludos

ms, 1-2-2008

robercio1981 · Mensaje por **robercio1981** » 01 Feb 2008, 21:40

ya lo he hecho aki esta:

https://www.virustotal.com/es//analisis/18a6d07253929b84747db0650d2b5e78

no se si asi te vale pero sino dime como te lo puedo decir porke salen muchos nombres raros ke no entiendo

Claudia34 · Mensaje por **Claudia34** » 01 Feb 2008, 21:47

Tienes que seleccionar el contenido de la pagina, copiarlo y luego pegarlo aqui.

Saludos.

robercio1981 · Mensaje por **robercio1981** » 01 Feb 2008, 22:01

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 - - Win-Trojan/Winrem.335360

AntiVir - - BDS/WinRem

Authentium - - -

Avast - - Win32:Hupigon-BQO

AVG - - SHeur.RBW

BitDefender - - -

CAT-QuickHeal - - Backdoor.Hupigon.uar

ClamAV - - -

DrWeb - - DDoS.Bonke

eSafe - - -

eTrust-Vet - - Win32/Veslorn.DT

Ewido - - Backdoor.Hupigon.uar

FileAdvisor - - -

Fortinet - - -

F-Prot - - -

F-Secure - - Backdoor.Win32.Hupigon.uar

Ikarus - - Trojan-PWS.Win32.Agent.iu

Kaspersky - - Backdoor.Win32.Hupigon.uar

McAfee - - BackDoor-AWQ

Microsoft - - -

NOD32v2 - - a variant of Win32/Agent.NEJ

Norman - - -

Panda - - Bck/Hupigon.AZG

Prevx1 - - Generic.Malware

Rising - - Trojan.DL.Win32.Agent.zmi

Sophos - - -

Sunbelt - - VIPRE.Suspicious

Symantec - - Backdoor.Graybird

TheHacker - - -

VBA32 - - Backdoor.Win32.Hupigon.uar

VirusBuster - - -

Webwasher-Gateway - - Trojan.Backdoor.WinRem

Información adicional

MD5: b2ee4e0030ae03741cd847e8467280bd

SHA1: 7ee2b9cf465d4b0549203948e66738ccba19ffdf

SHA256: b421427a5fbba4f4af79a0effe4f9e583246177c9d8b3a55082783cde5e6f8e0

SHA512: 851f66915585dbfdc1b3850cb3d2b2dc979c26c3b713956592f99f277020aa04 6f5a78936da96d7225196bedad991e2c22f3c8076ed084479f4822687de839ca

Mensaje por **lucl** » 02 Feb 2008, 06:59

Pues evidentemente lo ven como trojano, asi que si debias enviarlo a analizar hazlo para que podamos darte la herramienta adecuada

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y si no lo habias renombrado a .VIR hazlo para que no se ponga en marcha en el siguiente reinicio y asi dejarlo "anestesiado" hasta que lo eliminemos, saludos

Mensaje por **msc hotline sat** » 02 Feb 2008, 08:16

No, si ya lo detecta y elimina (si se quiere) el ELISTARA, como se ve en el infosat.txt que ya nos ha posteado el autor del Tema:

~~[b]~~[i]C:\WINDOWS\system32\COMMOMDS.EXE --> Infectado, PSW.Agent.IU [/i][/b]

que coincide con el nombre que le da Ikarus, que debía ser el unico que lo detectaba cuando recibimos la primera muestra, pues procuramos no inventar nombres nuevos :wink: , aunque cada uno lo llame como quiera :lol:

Como que se confirma que es troyano por mas de 20 antivirus (pues se lo dice ademas el ELISTARA), pruebe de eliminarlo, si quiere, arrancando en MODO SEGUR0 , y como ultimo extremo, si asi se resiste, lo podrá hacer arrancando en consola de recuperacion, pues dejar un malware vivito y coleando en el ordenador... al menos mire de cambiar su extension a .VIR o muevalo a una carpeta de cuarentena, para que ya no esté en su sitio al reiniciar, y ya no se cargue en memoria...

Aunque le parezca que no le molesta, imaginese que pueda tener funciones de keylogger y alguien remoto esté recibiendo lo que Vd está tecleando o incluso las pantallas que está visualizando... quizás pensar en esto, si le importa su privacidad e intimidad, le decante a sacarselo de encima o al menos aparcarlo...

Aparte, diganos si se ha solucionado su problema inicial, sino veríamos si procede REPARAR SISTEMA o COMPROBAR ERRORES Y DESFRAGMENTAR, o eliminar carpeta de PREFETCH y TEMPORALES, o qué ...

saludos

ms, 2-2-2008