problemas con msn y el pc en general

[carreta]

Hola amigos, quisiera ver si me podrían ayudar con el PC d eun amigo que tiene dramas con virus, creiamos que era algo especifico de msn pero el msncleaner no dio resultados negativos, aqui les pego el log de hikjackthis a ver si se puede hacer algo... muchas gracias!





Logfile of HijackThis v1.99.1

Scan saved at 17:04:41, on 15/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Java\jre1.6.0_02\bin\jucheck.exe

C:\ARCHIV~1\Mozilla Firefox\firefox.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\ADMINI~1\Temp\Rar$EX00.922\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEESLA/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows uE v. 9.5 Final Edition

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] 'C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe'

O4 - HKLM\..\Run: [SunJavaUpdateSched] 'C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe'

O4 - HKLM\..\Run: [nod32kui] 'C:\Archivos de programa\Eset\nod32kui.exe' /WAITSERVICE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [WinampAgent] 'C:\Archivos de programa\Winamp\winampa.exe'

O4 - HKCU\..\Run: [MsnMsgr] 'C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe' /background

O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Datos de programa\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

[Claudia34]

A simple vista lo que se ve es que te falta el service pack 3 y el I.E. 7, realiza un windows update.



Saludos.

[carreta]

ok, pero se ve alguna infección? es que los problemas de la PC parecen ser más que solo un tema de actualización. Gracias.

[msc hotline sat]

Sí, esta clave la debes eliminar:



O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Datos de programa\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html



para ello:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y como que en el log solo se ve una minima parte del registro, y los virus del MSN pueden no verse facilmente, lanza este AV ONLINE y posteanos el informe resultante:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.





(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)





saludos



ms, 16 de Agosto de 2008

[carreta]

Gracias amigos por su ayuda, como me indicaron , subi el archivo infectado y aqui pego el log de AV:





sábado, 16 de agosto de 2008 3:17:45

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 16/08/2008

Registros en la base antivirus: 976256





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

A:\

C:\

D:\



Estadísticas

Número de objeros analizados 37934

Virus encontrados 1

Objetos infectados 1 / 0

Objetos sospechosos 0

Duración del análisis 01:40:38



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked saltado



C:\Archivos de programa\Eset\logs\virlog.dat Object is locked saltado



C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked saltado



C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\5bov1590.default\Cache\_CACHE_001_ Object is locked saltado



C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\5bov1590.default\Cache\_CACHE_002_ Object is locked saltado



C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\5bov1590.default\Cache\_CACHE_003_ Object is locked saltado



C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\5bov1590.default\Cache\_CACHE_MAP_ Object is locked saltado



C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\5bov1590.default\cert8.db Object is locked saltado



C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\5bov1590.default\formhistory.dat Object is locked saltado



C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\5bov1590.default\history.dat Object is locked saltado



C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\5bov1590.default\key3.db Object is locked saltado



C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\5bov1590.default\parent.lock Object is locked saltado



C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\5bov1590.default\search.sqlite Object is locked saltado



C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\5bov1590.default\urlclassifier2.sqlite Object is locked saltado



C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado



C:\Documents and Settings\Administrador\Temp\bisC95.exe Infectados: Trojan.Win32.Obfuscated.gen saltado



C:\Documents and Settings\Administrador\Temp\fla33E1.tmp Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



Análisis completado.

[msc hotline sat]

Pues a este fichero renombra su extension a .VIR:



C:\Documents and Settings\Administrador\Temp\bisC95.exe



y tras reiniciar ya no estará activo, luego subelo al VirusTotal , www.virustotal.com/es , y nos posteas el informe resultante, gracias



saludos



ms, 16 de Agosto de 2008