Ventanas emergentes CID, y mercado libre (SOLUCIONADO)

[turcos]

Hola, otra vez estoy con un problema y calculo que debe provenir de algun virus o espía, brevemente les comento que usando el internet explorer aparecen ventanas emergentes CID y de Mercado Libre a cada rato, ya probé con el Avast Actualizado, el spyboot search actualizado, pasé tambien el elistara y el elitriip en busca de una solución, pero a pesar de haber eliminado un par de virus, el problema sigue sin resolverse, les dejo aquí el log del Hijackthis para ver si ustedes pueden darme alguna solución...lo próximo que haré será instalar el SP3 de windows XP, ya que actualmente la PC tiene solo el SP2...gracias de antemano...y saludos



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 02:53:17 p.m., on 27/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Archivos de programa\logmein\x86\RaMaint.exe

D:\Archivos de programa\logmein\x86\LogMeIn.exe

D:\Archivos de programa\logmein\x86\LMIGuardian.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\SCANJET\PrecisionScanLT\hppwrsav.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Inter bib audio army] C:\Documents and Settings\All Users\Datos de programa\setup film inter bib\log fast.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: DSLMON.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://especiales.softonic.com/sinespias/installer.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://adragilberti.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{305BF744-43DE-4861-83DE-6CEBBBD1D226}: NameServer = 10.0.0.2

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - D:\Archivos de programa\logmein\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - D:\Archivos de programa\logmein\x86\LogMeIn.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe



--

End of file - 5922 bytes

[Claudia34]

Dices que pasate el elistara y elitrip, entonces peganos tambien el informe que dejan en C: Infosat.txt



Y pruebate el kaspersky antivirus online que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.



https://www.kaspersky.es/downloads/thank-you/free-antivirus-download



Saludos.

[turcos]

Aqui les dejo el informe del Elistara y Elitrip...estoy haciendo el analisis con el antivirus on-line...cuando termine pego ese reporte tambien...



Mon Aug 25 22:28:40 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LMIINIT] -> C:\WINDOWS\SYSTEM32\LMIinit.dll

C:\WINDOWS\SYSTEM32\LMIINIT.DLL --> Eliminado RemoteAdmin(lmiinit)

Eliminada Class, "{147A976E-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Class, "{FCAAAC14-BC46-40CA-9CB2-CBB12C6739EB}" -> C:\ARCHIV~1\GBPLUG~1\gbiehdst.dll

Eliminada Carpeta "%Archivos de Programa%\GbPluggin"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Aug 25 22:30:20 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Aug 25 22:30:30 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\DelPSGuard\DPSG.EXE --> Eliminado, Generic.Packed

C:\Documents and Settings\Administrador\BMB.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\BXU.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\CYO.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\DAQH.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\EFGBLB.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\HPVTX.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\HXM.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\LUVOK.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\MVFXG.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\OTHS.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\QILX.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\QLGGRBX.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\QMY.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\RHXOMLQ.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\RWEXTYA.EXE --> Eliminado, Trojan.Mondera

C:\Documents and Settings\Administrador\VGGYNLY.EXE --> Eliminado, Trojan.Mondera

C:\MSNCleaner\BackUpMSNCleaner\MSNGSERV.EXE.VIR --> Eliminado, Guiños(msn)

C:\WINDOWS\AUTOCLK.EXE --> Eliminado, Sqwire.C

C:\WINDOWS\system32\CLOSEAPP.EXE --> Eliminado, RiskTool.CloseApp

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

C:\WINDOWS\system32\VIMC.EXE --> Eliminado, RiskTool.CloseApp(dropper)

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\VITrans\VIVP.EXE --> Eliminado, RiskTool.CloseApp(dropper)



Nº Total de Directorios: 2996

Nº Total de Ficheros: 26658

Nº de Ficheros Analizados: 8396

Nº de Ficheros Infectados: 24

Nº de Ficheros Limpiados: 24



Mon Aug 25 22:34:35 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2996

Nº Total de Ficheros: 26634

Nº de Ficheros Analizados: 8372

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Aug 25 22:39:41 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Archivos de programa\logmein\x86\LMIINIT.DLL --> Eliminado, RemoteAdmin(lmiinit)



Nº Total de Directorios: 235

Nº Total de Ficheros: 6166

Nº de Ficheros Analizados: 225

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Mon Aug 25 22:41:11 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "MsConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

No detectado SP3 de Windows XP



Mon Aug 25 22:41:20 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2995

Nº Total de Ficheros: 26637

Nº de Ficheros Analizados: 7346

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Aug 25 22:44:41 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 235

Nº Total de Ficheros: 6165

Nº de Ficheros Analizados: 109

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Sí, ha quedado como siempre una nueva variante de swizzor que va creando los CiD:



C:\Documents and Settings\All Users\Datos de programa\setup film inter bib\log fast.exe



Renombre su extension a .VIR y subalo al VIRUS TOTAL www.virustotal.com/es y si resulra positivo, envienos dicho fichero para añadir su control y eliminacion en proximas versiones del ELISTARA, de lo cual informaremos, pero de momento, tras renombrar a .VIR, ya no se pondrá en marcha a partir del proximo reinicio





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 28 de Agosto de 2008

[turcos]

Muchachos....el informe del Kaspersky me lo guardaron en formato html, como lo puedo pegar aqui?? disculpen mi ignorancia...ahora estoy pasando ademas la muestra del archivo que se me solicitó...gracias

[turcos]

hola muchachos...les acabo de pasar el archivo directamente a ustedes porque a virus total no lo puedo pasar...necesito permisos de un administrador del equipo, y no se como hacerlo...ya me cansé de renegar y no puedo...gracias de antemano y sepan disculparme

[turcos]

Por fin conseguí mandar el archivo a virustotal...el reporte indica que 7 antivirus lo detectaron...espero su confirmacion de los pasos a seguir...

Gracias

[msc hotline sat]

Renombralo a .VIR para que ya no se ponga en uso a partir del siguiente reinicio y envianoslo para controlarlo en las pro¡ximas versiones de nuestras utilidades, de lo cual informaremos:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y no nos lo dices, pero supongo que habrán detectado variantes del SWIZZOR, no ???



saludos



ms, 28 de Agosto de 2008

[turcos]

Ya les he enviado el archivo hoy temprano, y si, exactamente, la variante fue detectada como de SWIZZOR...espero su confirmación y gracias nuevamente...

[msc hotline sat]

Entonces implementaremos su control y eliminacion en una proxima version del ELISTARA, de lo cual informaremos



Pero de momento, si has renombrado su extension a .VIR, ya está aparcada y fuera de uso



Dinos si, tras ello, aun persiste alguna anomalia, gracias



saludos



ms, 29 de Agosto de 2008

[turcos]

Momentáneamente el problema se encuantra resuelto...espero entonces su confirmación para una eliminación definitiva...Muchas Gracias nuevamente...

[msc hotline sat]

Pues ya puedes trabajar sin problemas, y a final de la semana que viene (porque los primeros días de reentreé post vacaciones serán temibles, te bajas la version del momento del ELISTARA y la pruebas, que posiblemente ya se habrá implementado el control y eliminacion de esta muestra y eliminará restos y claves modificadas.



Dando por solucinado el Tema, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 29 de Agosto de 2008