Ayuda para eliminar troyano (SOLUCIONADO)

[juanki02]

Hola!



el otro día después de bajar un archivo a través de mediafire norton me detectó un troyano que no pudo eliminar, desde entonces me a dado bastantes problemas, entre otras cosas me cerró el antivirus sin posibilidad de abrirlo incluso reinstalandolo.



lo primero que hice fué pasar ELISTARA y ELITRIP pero no me encontraron nada, luego, al pasar SPYBOT encontró algo relacionado con cftmon.exe que según tengo entendido está relacionado con office aunque pueda tratarse de un troyano que adopta ese nombre, SPYBOT no pudo eliminarlo del todo pues me decía algo así como que estaba alojado en la memoria.



Total, que restauré el sistema a unos dias a trás, en principio el NORTON funcionó sin pocos problemas, no me detecta nada pero el pc no va igual, además veo algunos procesos en marcha que antes juraría no se ejecutaban como opwareSE4.exe o msmsgs.exe



os dejo el informe de hijackthis a ver si podéis ayudarme pues me gustaría arreglarlo sin formatear.



gracias





Logfile of HijackThis v1.99.1

Scan saved at 09:41:53, on 28/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\Canon\IJPLM\IJPLMSVC.EXE

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\Archivos de programa\Canon\MyPrinter\BJMyPrt.exe

C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\TerraTec\DMX 6fire\DMX6Fire.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Archivos de programa\Messenger\msmsgs.exe

F:\ANTIVIRUS & ANTYSPYWARE\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe"

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Archivos de programa\Canon\SolutionMenu\CNSLMAIN.exe /logon

O4 - HKLM\..\Run: [CanonMyPrinter] C:\Archivos de programa\Canon\MyPrinter\BJMyPrt.exe /logon

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab

O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab

O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203013554358

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{056C0515-739A-4FDA-BA09-05B189DFFBFC}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS1\Services\Tcpip\..\{056C0515-739A-4FDA-BA09-05B189DFFBFC}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS2\Services\Tcpip\..\{056C0515-739A-4FDA-BA09-05B189DFFBFC}: NameServer = 194.179.1.100,194.179.1.101

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Archivos de programa\Canon\IJPLM\IJPLMSVC.EXE

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

[msc hotline sat]

Lo que tienes son restos de otro antivirus...

BuscaReg (SATINFO)
Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.

Descargar BuscaReg


Aparte, si restauraste a un punto anterior, lanza un windows update, no sea que te falten parches.

Y cuéntanos el resultado, gracias

saludos

ms, 28-04-2008

[juanki02]

gracias, pasaré esa herramienta esta misma tarde pero he de hacerlo en modo seguro?



y otra cosa, al decir que tengo restos de antivirus, he de decir que en el momento de pasar el hijackthis estaba ejecutando un antivirus online (el panda) quizás pudo afectar y sacar esa conclusión o no tiene nada que ver.



gracias otra vez.

[msc hotline sat]

No, no, me refiero al de McAfee que vemos, al tener residente esto:



C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe



(Se quedó en el portapapeles en mi post anterior :oops: )



saludos



ms, 28-04-2008





NOTA: y aunque no sea imprescindible, siempre es bueno arrancar en modo seguro para lanzar dichas utilidades. ms.

[juanki02]

siento ser tan ignorante en el tema pero es que he descargado esa utilidad pero no sé que hacer para hacerla funcionar, al ejecutarla me pide una cadena a buscar y ahí me quedo pues no sé que introducir en la casilla en blanco.

[msc hotline sat]

Como cadena a buscar indicale Network Associates y las que te encuentre, doble click sobre ellas ey acepta eliminar.



saludos



ms, 28-04-2008

[juanki02]

pues una vez pasado el buscareg os adjunto de nuevo el hijackthis para ver si encontráis algo raro, por cierto tambien le he pasado otra utilidad descargada desde zona virus, el anti troyanos ewido que me ha eliminado algunos spyware.

Logfile of HijackThis v1.99.1
Scan saved at 21:58:46, on 28/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Canon\IJPLM\IJPLMSVC.EXE
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Logitech\iTouch\iTouch.exe
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
C:\Archivos de programa\Canon\MyPrinter\BJMyPrt.exe
C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\TerraTec\DMX 6fire\DMX6Fire.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
F:\ANTIVIRUS & ANTYSPYWARE\hijackthis.exe
C:\Archivos de programa\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Archivos de programa\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Archivos de programa\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203013554358
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{056C0515-739A-4FDA-BA09-05B189DFFBFC}: NameServer = 194.179.1.100,194.179.1.101
O17 - HKLM\System\CS1\Services\Tcpip\..\{056C0515-739A-4FDA-BA09-05B189DFFBFC}: NameServer = 194.179.1.100,194.179.1.101
O17 - HKLM\System\CS2\Services\Tcpip\..\{056C0515-739A-4FDA-BA09-05B189DFFBFC}: NameServer = 194.179.1.100,194.179.1.101
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Archivos de programa\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

[msc hotline sat]

El log está limpio, solo observamos que aun tienes el I.E. 6 ???



Convendría que lanzaras un windowsupdate ...



saludos



ms, 29-04-2008

[juanki02]

si, es verdad tengo el IE6, recibí la actualización de windows para el IE7 pero no la instalé, recomendáis que lo haga? gracias por todo de verdad.

[msc hotline sat]

Sí, piensa que ya hay beta el I.E.8 , asi que ya es hora de probar la 7..., ademas de que he visto Temas solucionados tras ello, como:
viewtopic.php?f=13&t=24570

Pruebalo y nos informas del resultado, gracias

[juanki02]

ok, esta misma tarde instalaré pues la version 7.



una última pregunta, a pesar de que en el hijackthis no se detecta nada extraño he de decir que noto algunas cosas raras en mi PC, para empezar no puedo desplegar la barra de páginas visitadas en el explorer y comparado a como me funcionaba antes del troyano el explorador tarda bastante en cargar la página principal, a partir de ahí navego mas o menos bien pero en según que páginas tarda un rato, como si le costara cargar.



en fin, el programa EWIDO me detecto algunas cosas, ELISTARA y ELITRIP no, no sé si me podéis recomendar algun otro programa que pueda detectar si me queda algun resto de algo o si efectivamente el pc está completamente limpio.



gracias!

[msc hotline sat]

El EWIDO es un gran antispyware, nuestras herramientas ELITRIIP y ELISTARA son utilidades complementarias de apoyo a los antivirus y antispywares, para control de nuevas muestras que los otros aun no controlan, pero siempre es básico usar, ademas, un buen antispyware y un buen antivirus


saludos

ms, 29-04-2008

[juanki02]

bueno, pues después de la ayuda creo que conseguí limpiar completamente el PC, de momneto funciona correctamente (cruzo los dedos) a pesar de que algunas páginas tardan algo en cargarse.



como siempre, muchas gracias por vuestra ayuda!

[msc hotline sat]

Si sospecha que aun hay algo que le ralentiza, lance este AV ONLINE y posteenos el resultado:

Kaspersky Security Scan

NOTA: Y escojer la opcion de MIPC para escanearlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.


saludos

ms, 30-04-2008

[juanki02]

pues efectivamente, al pasar el antivirus online me a detectado 3 infecciones y 2 virus en mi sistema, este es el resumen del analisis:

KASPERSKY ONLINE SCANNER INFORME
jueves, 01 de mayo de 2008 23:39:13
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 1/05/2008
Registros en la base antivirus: 656819


Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Mi PC
A:\
C:\
D:\
E:\
F:\

Estadísticas
Número de objeros analizados 62453
Virus encontrados 2
Objetos infectados 3 / 0
Objetos sospechosos 0
Duración del análisis 01:12:22

Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcrst.dll Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDALRT.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDCON.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDDBG.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDFW.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDIDS.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSYS.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPPolicy.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPStart.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPStop.log Object is locked saltado
C:\Archivos de programa\Norton AntiVirus\AVApp.log Object is locked saltado
C:\Archivos de programa\Norton AntiVirus\AVError.log Object is locked saltado
C:\Archivos de programa\Norton AntiVirus\AVVirus.log Object is locked saltado
C:\Archivos de programa\TerraTec\DMX 6fire\DMX6FIRE.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Crypto\RSA\MachineKeys\18d261e8f33f6ab1d604c02fbf535114_3dbfbfc7-cc29-4d3e-a9c2-9885c1f1074c Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Crypto\RSA\MachineKeys\511a0f3f9e960fa97de3d0b74adfc574_3dbfbfc7-cc29-4d3e-a9c2-9885c1f1074c Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Crypto\RSA\MachineKeys\69ee94a61bbca7e78468e723c1bec77c_3dbfbfc7-cc29-4d3e-a9c2-9885c1f1074c Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\Common Client\settings.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Symantec\LiveUpdate\2008-05-01_Log.ALUSchedulerSvc.LiveUpdate Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\perea\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\perea\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\perea\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\perea\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\perea\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\perea\ntuser.dat Object is locked saltado

C:\Documents and Settings\perea\ntuser.dat.LOG Object is locked saltado

C:\itouch_crash_info.txt Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{927F03A0-F5FC-4126-B7C9-071CDDE8F2A3}\RP2\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\KeenValueInstall_111.exe/data0002 Infectados: Trojan-Downloader.Win32.Keenval.m saltado

C:\WINDOWS\system32\KeenValueInstall_111.exe/data0007 Infectados: Trojan-Downloader.Win32.Keenval.l saltado

C:\WINDOWS\system32\KeenValueInstall_111.exe NSIS: infectado - 2 saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

F:\System Volume Information\_restore{927F03A0-F5FC-4126-B7C9-071CDDE8F2A3}\RP2\change.log Object is locked saltado

Análisis completado.



es decir que a encontrado estas tres infecciones:

C:\WINDOWS\system32\KeenValueInstall_111.exe/data0002 Infectados: Trojan-Downloader.Win32.Keenval.m saltado

C:\WINDOWS\system32\KeenValueInstall_111.exe/data0007 Infectados: Trojan-Downloader.Win32.Keenval.l saltado

C:\WINDOWS\system32\KeenValueInstall_111.exe NSIS: infectado - 2 saltado


según pone es el virus KEENVAL, ahora necesitaría ayuda para eliminarlo, gracias

[msc hotline sat]

Pues envienos este fichero y lo analizaremos:



C:\WINDOWS\system32\KeenValueInstall_111.exe



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo y analizarlo, implementaremos su control y eliminacion en nuestras utiliddes, de lo cual informaremos



saludos



ms, 2-05-2008

[juanki02]

ok, os acabo de enviar el archivo comprimido en un zip



gracias

[msc hotline sat]

Mientras no volvemos al trabajo en SATINFO, que será el lunes, renombra dicho fichero a extebnsion .VIR para que no se cargue a partir del proximo reinicio.



sañudos



ms, 2-05-2008

[juanki02]

ok, renombrado a extension .vir y esperando nuevas instrucciones. gracias

[msc hotline sat]

A la vista de miles de mails llegados durante estos dias de puente, aun no hemos llegado a clasificar el suyo; estamos en ello y en cuanto nos lo entreguen procederemos.



Mientras tanto, puede renombrar la extension de dicho fichero a .VIR, pues la informacion encontrada al respecto nos confiorman que es un troyano:



C:\WINDOWS\SYSTEM32\KeenValueInstall_111.exe Infected: Trojan-Downloader.Win32.Keenval.l





Seguiremos informando



saludos



ms, 5-5-2008

[juanki02]

ok, pues me toca esperar. gracias!

[msc hotline sat]

Recibida muestra:



analisis previo....



Confirmado, se trata del Trojan-Downloader.Win32.Keenval.m



Entra en cola de monitorizacion para implementarlo en la proxima version del ELISTARA, de lo cual informaremos



saludos



ms, 5-5-2008

[juanki02]

muchas gracias, una cuestion; en el momento que pase la nueva versión de elistara tendré que volver a renombrar a .exe el archivo que me hicistéis renombrar a.vir??



gracias.

[msc hotline sat]

Espero que lo elimine, asi que no hará falta :wink:



Acabo de subir la nueva version, pruebala, aunque hoy no se han podido monitorizar todas las muestras debido a la aglomeracion de estos dias, pero estando a .VIR ya no debe incordiarte, y mañana seguiremos ...



saludos



ms, 5-5-2008

[juanki02]

bueno, pues pasé esa nueva versión de elistara pero no me encontró nada, este es el informe:





Mon May 05 20:28:38 2008

EliStartPage v16.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon May 05 20:28:50 2008

EliStartPage v16.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 11528

Nº Total de Ficheros: 47752

Nº de Ficheros Analizados: 12702

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





el troyano sigue ahí

[msc hotline sat]

Sï, veo que no ha habido tiempo de monitorizarlo e implementarlo.


[quote]ELISTARA



---v16.21-( 5 de Mayo del 2008) (Muestras de (3)Vundo9, (7)Vundo5, (2)DownLoader.ConHook, (4)PWS-OnLineGames.AMVO, BackDoor.CVT "WIN***32.DLL", JuanSearch, FraudLoad.UY "FAS64.DLL", Malware.SearchSet "SEARCHSETTINGS.DLL", DownLoader.Agent.ARE "IMGTASK.EXE", Uzelok.A "SYSTEM32.EXE" y Netvizor "SERVICES.EXE")[/quote]

Pero con extension .VIR ya no debe indorciarte.



Y mañana seguiremos



saludos



ms, 5-5-2008

[juanki02]

ok, supongo que en una próxima versión de elistara ya se monotizará para eliminar ese "keenval" verdad? esperaré pues, gracias.



y si es verdad que después de pasar algunas utilidades he notado mejoría, ayer incluso pasé el "spyware terminator" y encontró algunos cookies peligrosos pero para ser sincero todavía noto como el pc me hace algunas tonterias como tardar una barbaridad cuando abre la página principal del explorar entre otras, el dichoso keenval haciendo de las suyas incluso renombrado a .vir

[msc hotline sat]

Sí, espero que hoy monitoricemos dicho fichero y se implemente su control y eliminacion en el ELISTARA de hoy, 16.22, de lo cual informaremos



saludos



ms, 6-5-2008

[juanki02]

tras pasar la última versión de elistara este a sido el resultado:



Tue May 06 21:25:54 2008

EliStartPage v16.22 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Spybot - Search & Destroy\BORLNDMM.DLL --> Eliminado, Clicker.Small.TO

C:\Archivos de programa\Spybot - Search & Destroy\DELPHIMM.DLL --> Eliminado, Clicker.Small.TO

C:\WINDOWS\system32\KEENVALUEINSTALL_111.VIR --> Eliminado, KeenValue(dropper)



Nº Total de Directorios: 11530

Nº Total de Ficheros: 47783

Nº de Ficheros Analizados: 12707

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3





tal y como indica me a eliminado los archivos infectados, GRACIAS



aún así pasaré de nuevo el antivirus online por si a quedado algo.



SOIS GENIALES!!!!

[msc hotline sat]

Pues tras probar dicho antivirus, posteanos el resultado, gracias:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlotodo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos enconsecuencia, pidiendo muestras para analizar, si hace falta,indicando la utilidad a probar para solucionarlo.



saludos



ms, 7-5-2008