Posible infeccion o falso positivo (SOLUCIONADO)

[Elemental]

llevava un tiempo sin hacer una limpieza de virus y demas a mi pc. Dispongo del Kasperky intenret security 7 (con el antispyware desactivado), el spybot (para analisis temporales), el avg antispyware (inicia con windows) y el SpywareBlaster. mi problema empezo con el MsnClennaer y el Msnfixer, los pase y dicen que detectaron un espia en C:log.tx, reinico en modo a prueba de fallos y los vuelvo a pasar hasta que eliminar todo lo que encuentran. Vuelvo a reinicar en modo normal y vuelven a encontrar lo mismo . ES esto infeccion?¿. Para saber como esta mi pc, para el antivirus, el spybot y el avg antispyware, hice un analisi online yt le pase el drweb. No han encontrado nada. pero mi sorpresa es cuando paso el elistara de su pagina web y me sale esto:





Sat Apr 05 15:22:31 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Apr 05 15:22:40 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Java\jre1.6.0_03\bin\JLI.DLL --> Infectado, SpyBurner

C:\Archivos de programa\Java\jre1.6.0_05\bin\JLI.DLL --> Infectado, SpyBurner

C:\WINDOWS\$NtServicePackUninstall$\RUNDLL32.EXE --> Infectado, Spy.Pophot.AMV



Nº Total de Directorios: 3988

Nº Total de Ficheros: 42399

Nº de Ficheros Analizados: 14658

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 0



Sat Apr 05 15:26:03 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 42

Nº Total de Ficheros: 499

Nº de Ficheros Analizados: 30

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





LLevo veces que el antivirus (kasperky) no carga y me sale las alerta de windows de que no hay antivirus. Reinicio y todo normal. Pero otras carga el kasperky y salen las alerta de windwos de que no tengfo antivirus. ¿que le pasa a mi pc?.



Es un doble nucleo un con raid y tiene el windwos xp sp2 legal.



Muchas gracias por su ayuda :!:



PD: edito el mensaje para decir que he vuelto a pasar el dr web y me sale una infencion en un punto de restauracion, con una infeccion Tool.Prokill

[msc hotline sat]

Estas utilidades no son recomendadas en este foro, ni sabemos lo que pueden hacer o haberle hecho: "MsnClennaer y el Msnfixer" asi que Vd sabrá de donde las sacó...



Sobre esto que le indica el ELISTARA, suba estos ficheros al VirusTotal y diganos si detectan infeccion, para determinar si es un falso positivo o no:



https://www.virustotal.com/es/



Y en el caso que no lo detecten, envienos dichos ficheros con la indicacion de FALSO POSITIVO, como indicamos en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=19441



saludos



ms, 5-4-2008

[Elemental]

nada 0/32 para los tres archivos , pero lo que me parece raro es que el msnfix y el msclenner pero solo en una version me detacta una infeccion en log. Y reinicio en modo a prueba de fallos para eliminarla, y la elimina , luego le paso las aplicaciones en modo normal y la vuelve a detectar, las elimino en modo normal, y reinico para completar la desinfeccion. Y las vuelvo a pasar y mas de lo mismo. ¿que pasa estoy infectado?



he pasado otra vez el elistara y me salen las infecciones lo que me he equivocado y en vez de decirle que no eliminase una cosa he dicho que si, pero de moemnto va bien la pc:





Sun Apr 06 17:42:55 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Apr 06 17:43:04 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Java\jre1.6.0_03\bin\JLI.DLL --> Eliminado, SpyBurner

C:\Archivos de programa\Java\jre1.6.0_05\bin\JLI.DLL --> Infectado, SpyBurner

C:\WINDOWS\$NtServicePackUninstall$\RUNDLL32.EXE --> Infectado, Spy.Pophot.AMV



Nº Total de Directorios: 4036

Nº Total de Ficheros: 42492

Nº de Ficheros Analizados: 14654

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 1



Sun Apr 06 17:47:57 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 42

Nº Total de Ficheros: 503

Nº de Ficheros Analizados: 34

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Al ser el Pophot de reciente deteccion, es posible que haya coincidencias de cadenas con ficheros que las contengan, sin estar realmente infectados.



Por ello pedimos que nos envien estos posibles falsos positivos para obrar en consecuencia:



https://foros.zonavirus.com/viewtopic.php?f=5&t=19441





saludos



ms, 6-04-2008

[msc hotline sat]

Ya le hemos indicado que estas utilidades no son de este foro ni las recomendamos, aparquelas o eliminelas !!! pero no nos vuelva a hablar de ellas: [b][i] pero lo que me parece raro es que el msnfix y el msclenner [/i][/b]



Aparte de enviarnos los ficheros presuntos "falsos positivos" para corregir su deteccion, posteenos log del HJT a ver que mas vemos:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos





saludos



ms, 6-4-2008

[Elemental]

gracias por la ayuda, ya he puesto el log, y ya he mando eso por email por lo del faso positivo

[lucl]

El log de hijackthis debes pegarlo aqui, saludos

[msc hotline sat]

Dando vueltas a este RUNDLL32.EXE vemos que es para una vuelta atras a una version primitiva:



C:\WINDOWS\$NtServicePackUninstall$\RUNDLL32.EXE --> Infectado, Spy.Pophot.AMV



El RUNDLL32.EXE actual no es detectado por el ELISTARA, solo la copia de la version sustituida!



De todas formas se cambia la cadena de deteccion, pero donde lo haya eliminado, no hace falta restaurarlo, ya que es obsoleto.



saludos



ms, 7-04-2008

[Elemental]

eh?¿, entonces:



C:\WINDOWS\$NtServicePackUninstall$\RUNDLL32.EXE --> Infectado, Spy.Pophot.AMV





lo puedo eliminar y no pasa nada?¿



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:27:54, on 08/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\nvraidservice.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\AVerTV DVB-T\QuickDVB-T.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\wbem\unsecapp.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\HiJackThis\HiJackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [QuickDVBT] C:\Archivos de programa\AVerTV DVB-T\QuickDVB-T.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Agregar al componente Anti-Banners - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Estadísticas del componente Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201535720546

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1202386988796

O17 - HKLM\System\CCS\Services\Tcpip\..\{49130474-3AFC-4F4A-BA2E-296DDEF22BDC}: NameServer = 80.58.61.250,80.58.61.254

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



--

End of file - 6920 bytes

[msc hotline sat]

No pasa nada, pues no es el del sistema actual, que está en c:\windows\system32 y es de mayor tamaño, pero tampoco es imprescindible que lo elimine, para lo cual la actual version del ELISTARA ya no lo da como malware.



Y el log está limpio.



Por todo ello, damos el TRema por solucionado y procedemos a cerrarlo



saludos



ms, 8-04-2008