algo pasa en mi pc

[caballero_jedi]

Hola buenas.



¿saben si tengo que eliminar algo? porque me va algo mal el pc



Logfile of HijackThis v1.99.1

Scan saved at 8:44:09, on 09/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\LVComS.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jucheck.exe

C:\DOCUME~1\Miguel\CONFIG~1\Temp\Rar$EX00.219\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing)

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=030806 serial=dr12cnc-8301292-wbn lang=ES

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1160361184843

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[caballero_jedi]

he pasado el elitrip, elistara y elibagle ultimos, pero no pillaron nada.



internet explored cada dos por tres no puede mostrar la pagina, como si no hubiera conexion. el msn no se conecta, y aparece un pop up raro.

[caballero_jedi]

es raro, pero esta pagina me funciona bien, puedo navegar por ella y postear, pero mi pagina de inicio (google) falla casi siempre, y no puedo entrar a casi ningun lado, porque todo el rato falla.



la pop up que dije antes, solo aparecio un par de veces, y solo era un cuadradito del color amarillo de las pop up, pequeña, en la zona del reloj y los iconos. no se si sera pop up o que.



espero resistir hasta que me puedan ayudar. :? :? :?

[msc hotline sat]

El log del HJT está limpio, pero lo que indicas es propio de algun troyano no visible en dicho log.



Prueba el SPROCES y nos posteas el log que genera, que llega mas lejos que el HJT, y lo analizaremos:





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT :



saludos



ms, 9-04-2008

[caballero_jedi]

¿limpio seguro? intente pasar ese de sproces, pero no se abria. al darle a ejecutar, salia el reloj de arena, y no pasaba nada. y al final se me peto el ordenador y tuve que apagar.



al encender, consegui que funcionase el mesenger, pero internet sigue mal.



intentare pasar el sproces ese a ver.



¿puede ser peligroso esto que esta pasando?

[caballero_jedi]

ya pase el sproces (no se si sera el sproces, pero ahora me va esto lentisimo lentisimo)



copio:



Wed Apr 09 09:58:51 2008

SProces v2.8b (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.11) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\LOGITECH\VIDEO\LOGITRAY.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.5.0_11\BIN\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\LVCOMS.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 7.0\READER\READER_SL.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\WGATRAY.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\LIVECALL.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\USNSVC.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\DOCUMENTS AND SETTINGS\MIGUEL\CONFIGURACIóN LOCAL\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\TH9TZ7QM\SPROCES[1].EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=030806 serial=dr12cnc-8301292-wbn lang=ES

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O4 - Global Startup: Logitech Desktop Messenger.lnk

O4 - Global Startup: Microsoft Office.lnk

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1160361184843

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.5.0_01) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {b166be07-30a4-4d38-b781-44528a630706} - hydrodictyon - C:\WINDOWS\system32\gqagksr.dll (file missing)



Información Adicional:

----------------------

ShellExecuteHooks: {93994DE8-8239-4655-B1D1-5F4E91300429} - - C:\ARCHIV~1\DVDREG~1\DVDShell.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Servicio de instalación del controlador de audio (WDM) de Intel(r) 82801 (ac97intc) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ac97intc.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador del adaptador Intel(R) PRO (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: Logitech QuickCam Express(PID_0920) (PID_0920) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LV532AV.SYS

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys





ayuda, esto esta destruido

[msc hotline sat]

El SPROCES solo captura la informacion, ni modifica nada ni implementa nada. Lo que dice que le ha pasado no tiene nada que ver con él.



Vamos a ver el log...

[msc hotline sat]

El posible causante es:



O22 - SharedTaskScheduler: {b166be07-30a4-4d38-b781-44528a630706} - hydrodictyon - C:\WINDOWS\system32\gqagksr.dll (file missing)



ver:

http://www.bleepingcomputer.com/startups/gqagksr.dll-16098.html



Este fichero C:\WINDOWS\system32\[b][i][u]gqagksr.dll[/u][/i][/b] posiblemente tenga atributos de oculto o de sistema, ya que en la clave aparece la indicacion de (file missing). Arranca en modo seguro con solo simbolo de sistema y escribe:



ATTRIB C:\WINDOWS\SYSTEM32\GQAGKSR.DLL /S     <ENTER>



y asi sabras si está y los atributos que tiene. Los eliminas con la misma utilidad y, arrancando normal, nos lo envias para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 9-04-2008

[caballero_jedi]

[quote="msc hotline sat"]El posible causante es:



O22 - SharedTaskScheduler: {b166be07-30a4-4d38-b781-44528a630706} - hydrodictyon - C:\WINDOWS\system32\gqagksr.dll (file missing)



ver:

http://www.bleepingcomputer.com/startups/gqagksr.dll-16098.html



Este fichero C:\WINDOWS\system32\[b][i][u]gqagksr.dll[/u][/i][/b] posiblemente tenga atributos de oculto o de sistema, ya que en la clave aparece la indicacion de (file missing). Arranca en modo seguro con solo simbolo de sistema y escribe:



ATTRIB C:\WINDOWS\SYSTEM32\GQAGKSR.DLL /S y asi sabras si está y los atributos que tiene. Los eliminas con la misma utilidad y, arrancando normal, nos lo envias para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos

ms, 9-04-2008[/quote]

No entendi muy bien. Se arrancar en modo seguro, pero no se que es "modo seguro con solo simbolo de sistema"

escribo ¿ATTRIB C:\WINDOWS\SYSTEM32\GQAGKSR.DLL /S ? ATTRIB no? ¿solo desde C:/..?



a que utilidad se refiere, con la que debo eliminar los atributos si los hay.



y dos cositas: ¿podria eliminar la clave esa "ATTRIB C:\WINDOWS\SYSTEM32\GQAGKSR.DLL /S " directamente con hijacthis ?



¿hasta que punto es peligroso el troyano, si es que alguien me lo mando? ¿pueden estar sacandome informacion o algo?



Muchas gracias

[caballero_jedi]

ah, perdon. cuando me referia a si puedo borrar esa clave con hijacthis, me referia en realidad a si la puedo borrar buscandola en ejecutar, y borrandola directamente.



Es que asi seria mas facil.

[caballero_jedi]

acabo de entrar a modo seguro con solo simbolo del sistema, y en la pantallita escribi :

ATTRIB C:\WINDOWS\SYSTEM32\GQAGKSR.DLL /S



y me dijo que no se podia encontrar la ruta

[msc hotline sat]

Pues no le indiques la ruta, que busque el fichero:



ATTRIB  \GQAGKSR.DLL  /S     <ENTER>



y si asi no lo encuentra es que ya no lo tienes. En tal caso lanza el BUSCAREG, de da a buscar GQAGKSR.DLL y cuando lo encuentre, doble click y acepta en eliminar la clave.





[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]







saludos



ms, 9-04-2008



NOTA y si lo encuentras, en cualquier caso envianoslo, gracias

[caballero_jedi]

he buscado con el Buscareg, y no ha lo ha encontrado. ¿se habra eliminado solo?



¿habra sido una falsa alarma? o puedo tener algo malo acechando? :? :?

[msc hotline sat]

mUY RARO NOS PARECE...



Vuelve a probar el SPROCES y mira si en el SPROCLOG.TXT que genera existe la clave en cuestion:



O22 - SharedTaskScheduler: {b166be07-30a4-4d38-b781-44528a630706} - hydrodictyon - C:\WINDOWS\system32\gqagksr.dll (file missing)



y si es asi, con el BUSCAREG busca ahora [b][i]hydrodictyon[/i][/b] a ver si ves asi la clave indicada, y en tal caso eliminala.



No es ninguna falsa alarma, puede que el fichero ya no esté, pero la clave sale retratada en el informe...



saludos



ms, 9-04-2008

[caballero_jedi]

al usar el sproces, no se abre nada (cuando os copie el log simplemente lo busque en ejecutar, pero no se abre ninguna ventana directamente como con el hijacthis) lo digo por si tiene algo que ver.



El caso es que ahora lo use como me han dicho, y si que sale esa clave: copio el log por si acaso mas abajo.

no se porque, pero antes de hacer esto, el ordenador habia empezado a funcionar bien, pero ahora que use el sproces, me va lentisimo.



voy a usar el buscareg y os cuento



Wed Apr 09 12:20:27 2008

SProces v2.8b (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.11) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\LOGITECH\VIDEO\LOGITRAY.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.5.0_11\BIN\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\LVCOMS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\WGATRAY.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\USNSVC.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\LIVECALL.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\EMULE\EMULE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\MIGUEL\MIS DOCUMENTOS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=030806 serial=dr12cnc-8301292-wbn lang=ES

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O4 - Global Startup: Logitech Desktop Messenger.lnk

O4 - Global Startup: Microsoft Office.lnk

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1160361184843

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.5.0_01) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {b166be07-30a4-4d38-b781-44528a630706} - hydrodictyon - C:\WINDOWS\system32\gqagksr.dll (file missing)



Información Adicional:

----------------------

ShellExecuteHooks: {93994DE8-8239-4655-B1D1-5F4E91300429} - - C:\ARCHIV~1\DVDREG~1\DVDShell.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Servicio de instalación del controlador de audio (WDM) de Intel(r) 82801 (ac97intc) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ac97intc.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador del adaptador Intel(R) PRO (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: Logitech QuickCam Express(PID_0920) (PID_0920) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LV532AV.SYS

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

[msc hotline sat]

Y has borrado con el BUSCAREG la clave que contiene el "hydrodictyon" ???



Vemos que aparece en el registro, es que no la encuentras con el BUSCAREG ???



Y no, no creo que con el HJT se llegue a esta clave, pero pruebalo...



saludos



ms, 9-4-2008

[caballero_jedi]

hola de nuevo. recalco el echo de que al usar el sproces, el pc se atasca y va lentisimo (cualquier cosilla se volvia una tortura).



arranque en modo seguro, y pase el buscareg, y busque hydrodictyon, y encontro una clave (clave o como se llame). pinche dos veces encima, y me hizo un par de preguntas sobre eliminar a lo que conteste que si las dos veces.



luego reinicie y aqui estoy.



Me gustaria saber si puede seguir el peligro acechante, y que peligros podia haber tenido tener ese troyano.



Muchas gracias

[msc hotline sat]

Si recibimos el indicado fichero, podremos analizarlo e informarle de los peligros que puede conllevar, sino, adivine... cualquier cosa, pero nada bueno.



Si en el SPROCLOG ya no aparece la clave de carga del mismo, aunque tuviera el fichero, no sería lanzado, con lo que el problema estaría aparcado.



Y que el SPROCES ralentice, pasamos a monitorizar servicios y procesos y ello puede que, segun las prestaciones de su PC se note mas o menos, pero como que solo queremos la creacion del SPROCLOG.TXT, tras ejecutarlo, pulsar el SALIR o en el Administardor de tareas, finalizar el proceso, que el fichero indicado ya se habrá creado.



Tras ello reinicie, y si persiste algun problema diganos cual, o pasaremos a dar el Tema por solucionado



saludos



ms, 9-04-2008

[caballero_jedi]

no entiendo bien esto: Si en el SPROCLOG ya no aparece la clave de carga del mismo, aunque tuviera el fichero, no sería lanzado, con lo que el problema estaría aparcado.



¿que hago ahora?

[msc hotline sat]

El SPROCES genera el SPROCLOG y monitoriza ventanas de módulos y procesos, pero si tiene bloqueos de popups no lo ve, este es el problema de lo que indica, pero una vez creado el fichero que nos ha posteado, no hace falta que lo use mas.



Decíamos:

mira si en el SPROCLOG.TXT que genera existe la clave en cuestion:


[quote]O22 - SharedTaskScheduler: {b166be07-30a4-4d38-b781-44528a630706} - hydrodictyon - C:\WINDOWS\system32\gqagksr.dll (file missing)



y si es asi, con el BUSCAREG busca ahora hydrodictyon a ver si ves asi la clave indicada, y en tal caso eliminala.



No es ninguna falsa alarma, puede que el fichero ya no esté, pero la clave sale retratada en el informe...[/quote]

Vemos que persiste dicha clave en el último log, por tanto o el fichero C:\WINDOWS\system32\gqagksr.dll debe existir y al estar en uso impedir la eliminacion de la clave, si es que la ha buscado con el BUSCAREG buscando "hydrodictyon" como le deciamos y pulsar doble click sobre la encontrada y seleccionar ELIMINAR.



Así que todo se centra en encontrar este fichero:



C:\WINDOWS\system32\gqagksr.dll



y como que indica (FILE MISSING) pensamos que está oculto, para lo cual le deciamos como verlo con el ATTRIB y si ve atributos de S, H o R, eliminelas con el mismo ATTRIB (desenpolve su MSDOS, que parece hacerle falta...)



Cuando consiga enviarnos dicho fichero, [b][i]gqagksr.dll [/i][/b], procederemos en consecuencia



Recuerde:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 10-04-2008

[caballero_jedi]

Con esta ultima respuesta me quede bastante confuso.



como dije la ultima vez, use el buscareg, y elimine eso de hydrodictyon (el buscareg encontro una cosa, la pinche dos veces, y le di a que si, dos veces)



ahora ¿como uso eso del ATTRIB ? parece ser que abro en modo seguro con solo simbolo del sistema, y sale una ventanita negra

¿que escribo ahi exactamente, y como elimino lo que salga (y como se que eliminar(?

[msc hotline sat]

El ATTRIB es de lo mas basico del DOS.



Si no te acuerdas de como va, abre una ventana al DOS y escribe ATTRIB   /?   <enter>   a ver si te refresca la memoria.



Primero has de ver si lo localizas, porque si ya no lo ves, no hace falta seguir.



Y para esto te deciamos que escribieras, en una ventana al DOS:



ATTRIB \GQAGKSR.DLL /S <ENTER>



Una vez localizado y sabidos los atributos, es cuestion de eliminar los que tenga con el mismo ATTRIB, por ejemplo si tiene atributo S, H, R, quitarselos con ATTRIB -S -H -R



Y copias dicho fichero al escritorio, por ejemplo, para luego enviarnoslo para analizar.



saludos



ms, 10-04-2008