Reg32.exe y runmgr.exe (SOLUCIONADO)

[MetalMario]

Hola, soy nuevo por aquí aunque se puede decir que he tenido encuentros cercanos con viruses.

Pero hace unos días me entró uno que de plano no puedo eliminar, seguí consejos de otros foros, pero al final me animé a exscribir aquí para una respuesta más personalizada.

El problema es que cada vez que inicio mi máquina me sale el runmgr.exe, ya lo borré en modo seguro, y elimine la entrada del registro etc etc... Sigue apareciendo...

El otro es el reg32.exe, pues cada que introduzco un dispositivo usb el nod32 me dice que explorer.exe intentó crear un archivo en j:/recycler/un montón de numeros/reg32.exe

No sé que hacer pùes la ventana aparece cada medio minuto y no me deja en paz...

Por favor ayuda!!!

Ah si por cierto hace 1 semana apenas hice un formateo de mi computadora así que me extraña que tan pronto le hayan entrado viruses

Gracias :P

[lucl]

Eso nunca se sabe , aunque formatees recientemente entran por donde pueden, de todos modos pasa elistara y peganos el log que te dejara en C infosat.txt

http://www.zonavirus.com/descargas/elistara.asp
y vacuna tu pc con elipen
http://www.zonavirus.com/descargas/elipen.asp

saludos

[MetalMario]

Ok... Y no solo le he pasado el Elistara sino también el Elitriip y el Elibagla y pase de paso el Elipen y ninugno detecta nada... O más bien no he visto que detecten nada, no me he puesto a analizar bien eso...





Sun Sep 07 00:48:38 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Sep 07 14:08:22 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Detectado AUTORUN.INF en la Unidad (J)

open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\reg32.exe

El Fichero al que Apunta, no ha sido Posible Localizarlo.

Sun Sep 07 14:08:26 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad J:\



Nº Total de Directorios: 86

Nº Total de Ficheros: 1256

Nº de Ficheros Analizados: 53

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Sep 07 14:08:57 2008

EliTriIP v5.04 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Sep 07 14:09:00 2008

EliTriIP v5.04 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad J:\



Nº Total de Directorios: 86

Nº Total de Ficheros: 1256

Nº de Ficheros Analizados: 55

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Sep 07 14:46:25 2008

EliBagle v11.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Sep 07 14:46:28 2008

EliBagle v11.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7862

Nº Total de Ficheros: 92555

Nº de Ficheros Analizados: 15310

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sun Sep 07 21:33:03 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Unidad D:\ Protegida



Sun Sep 07 21:34:41 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado J:\Autorun.inf

OPEN=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\REG32.EXE

J:\Autorun.inf -> Renombrado a .OLD

Unidad J:\ Protegida



Unidad J:\ YA esta Protegida



"OPEN=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\REG32.EXE" eso es lo que les digo que me manda el nod32 cada que introduzco un dispositivo usb y solo me deja una opcion: cerrar la ventana, la cierro y a los 10 segundos vuelve a aparecer...

[msc hotline sat]

Está claro que tienes un virus de los que se propagan por pendrive, y aunque ello ya ha sido bloqueado gracias al ELIPEN, sigue habiendo ficheros infectados que aunque no se autoejecuten, conviene controlarlos para evitar ejecuciones accidentales por error.

Envianos estos dos ficheros, runmgr.exe y reg32.exe , que es posible que estén ocultos o en carpetas ocultas: http://www.zonavirus.com/articulos/como ... indows.asp


y envianoslos segun indicamos en :

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253


saludos
ms, 8-09-2008

[MetalMario]

Gracias! He enviado las muestras y espero una promta respuesta, disculpen la tardanza pero no había estado conectado.

Por cierto, eliminé el reg32 por accidente después de haberlo enviado y me apareció un mensaje de Nod 32 diciendo: "archivo Archivo C:\RECYCLER\S-1-5-21-279984633-2682728585-1726107004-1007\Dc2.exe Variante modificada de Win32/AutoRun.KS (Gusano de Internet) Puesto en cuarentena - Eliminado MINGUER-DESK\HP_Administrator Suceso ocurrido en un archivo modificado por la aplicación: C:\WINDOWS\Explorer.EXE. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana."

No se que es eso!

Otro virus???

[msc hotline sat]

Decias que no habian detectado nada ??? pues tanto el ELISTARA como el ELIPEN lo hicieron ! :



Sun Sep 07 14:08:22 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Detectado AUTORUN.INF en la Unidad (J)

open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\reg32.exe

El Fichero al que Apunta, no ha sido Posible Localizarlo.



y eso de que no ha sido posible localizarlo posiblemente sea por lo que dices que lo borraste ...





y el ELIPEN:



Sun Sep 07 21:34:41 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado J:\Autorun.inf

OPEN=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\REG32.EXE

J:\Autorun.inf -> Renombrado a .OLD





Y si ya lo has enviado para analizar, tras recibirlo y monitorizarlo informaremos



saludos



ms, 9-09-2008

[MetalMario]

Ok he ahi la cuestión, lo eliminé después de ejecutar los análisis... De hecho lo acano de borrar hace poco más de hora y media y el análisis fue de ayer... Tal vez me fallan las palabras, pero ese archivo al que apunta nunca ha existido, cada que introduzco una memoria usb el nod32 detecta que Explorer.EXe intentó crear esa ruta, pero lo bloqueó y entonces dice que no lo puede eliminar porque no lo detecta, obviamente porque no se creó... O algo así: "08/09/2008 23:00:28 p.m. AMON Archivo J:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\reg32.exe Variante modificada de Win32/AutoRun.KS (Gusano de Internet) Puesto en cuarentena - Eliminado MINGUER-DESK\HP_Administrator Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\Explorer.EXE. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana." Cierro la ventana como me dice y a los 5 segundos vuelve a aparecer, posiblemente porque se intenta crear otra vez, o no?



Me revuelve todo ese asunto de los virus informáticos...

[msc hotline sat]

Pues mientras abra de nuevo SATINFO y entremos a trabajar en unas 3 horas (ahora son las 6 AM), para ver las muestras recibidas y poder analizarlas, lanza el HJT y posteanos el log resultante:


HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

saludos
ms, 9-09-2008

[MetalMario]

Ok, aqui está el log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:48:11 a.m., on 09/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\arservice.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\BOINC\boinctray.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BOINC\boincmgr.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
c:\windows\system\hpsysdrv.exe
C:\Program Files\SoulseekNS\slsk.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - HKLM\..\Run: [DMAScheduler] "c:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe"
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [regcmdcons] c:\hp\bin\cloaker.exe c:\hp\bin\cmdcons.cmd
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [boinctray] "C:\Program Files\BOINC\boinctray.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs"
O4 - HKCU\..\RunOnce: [TSClientAXDisabler] cmd.exe /C "%systemroot%\Installer\TSClientMsiTrans\tscdsbl.bat"
O4 - HKUS\S-1-5-21-279984633-2682728585-1726107004-1011\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'boinc_master')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - S-1-5-21-279984633-2682728585-1726107004-1011 Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'boinc_master')
O4 - S-1-5-21-279984633-2682728585-1726107004-1011 Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'boinc_master')
O4 - S-1-5-21-279984633-2682728585-1726107004-1011 User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'boinc_master')
O4 - S-1-5-21-279984633-2682728585-1726107004-1011 User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'boinc_master')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user')
O4 - Startup: BOINC Manager.lnk = C:\Program Files\BOINC\boincmgr.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - c:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BOINC - Space Sciences Laboratory - C:\Program Files\BOINC\boinc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

--

End of file - 9542 bytes


Espero me puedan ayudar, pues aqui es casi la 1 de la madrugada, iré a dormir más tranquilo
gracias!

[msc hotline sat]

Se ven en el log llamadas a estos ficheros atípicos:

c:\hp\bin\cmdcons.cmd
C:\hp\bin\CLOAKER.EXE

que parecen ser de HP. Si tienes un HP o Compaq y los conoces, dejalos, pero si no, envianos tambien muestra de ellos para analizar

Y ahora que ya estoy en la empresa voy a ver si han llegado otras muestras tuyas

Sí, hoy han llegado tres ZIP pero al intentar "colarlos", veo que estan corruptos y no se pueden descomprimir.

Compruebalo y envianos de nuevo dichas muestras, pues las que has enviado no son válidas

saludos
ms, 9-09-2008

[MetalMario]

Ha pasado algo muy raro... He intentado localizr los archivos reg32 y runmgr y no he podido...

Al parecer el problema esta resuelto, reinicie windows varias veces y nada!!!

Ya no se traba Internet, ya no se traba la pantalla de inicio, lo único que pasa es que aparece una ventana de dos que dice "cmd", es una pantalla negra, sin instrucciones, sin alertas, sin nada!!! solo le pulso cerrar y se cierra!!! Así sin más...

Será que el prpbelma está resuelto???

Por lo de el cloaker y el cmdcons si los conozco han estado ahí desde la primera vez que utilice la máquina (sin internet)...

Que me recomiendan... otro log de hjt???

O algo???

[lucl]

Pues si vuelve a pegarnos log de hijackthis a ver que pasa , saludos

[MetalMario]

He aquí otra vezs el log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:03:29 p.m., on 10/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\arservice.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ARPWRMSG.EXE
C:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\BOINC\boinctray.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BOINC\boincmgr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\HP\KBD\KBD.EXE
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\SoulseekNS\slsk.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
c:\windows\system\hpsysdrv.exe
C:\Program Files\Sony\SonicStage\Omgjbox.exe
C:\Program Files\Common Files\Sony Shared\AVLib\SsDbConnection.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - HKLM\..\Run: [DMAScheduler] "c:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe"
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [regcmdcons] c:\hp\bin\cloaker.exe c:\hp\bin\cmdcons.cmd
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [boinctray] "C:\Program Files\BOINC\boinctray.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs"
O4 - HKCU\..\RunOnce: [TSClientAXDisabler] cmd.exe /C "%systemroot%\Installer\TSClientMsiTrans\tscdsbl.bat"
O4 - HKUS\S-1-5-21-279984633-2682728585-1726107004-1011\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'boinc_master')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - S-1-5-21-279984633-2682728585-1726107004-1011 Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'boinc_master')
O4 - S-1-5-21-279984633-2682728585-1726107004-1011 Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'boinc_master')
O4 - S-1-5-21-279984633-2682728585-1726107004-1011 User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'boinc_master')
O4 - S-1-5-21-279984633-2682728585-1726107004-1011 User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'boinc_master')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user')
O4 - Startup: BOINC Manager.lnk = C:\Program Files\BOINC\boincmgr.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - c:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BOINC - Space Sciences Laboratory - C:\Program Files\BOINC\boinc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

--

End of file - 9855 bytes

[msc hotline sat]

Pues al respecto vemos en el log que hay estas dos claves que utilizan CMD para abrir DOS y ejecutar desde alli ficheros:

O4 - HKCU\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs"
O4 - HKCU\..\RunOnce: [TSClientAXDisabler] cmd.exe /C "%systemroot%\Installer\TSClientMsiTrans\tscdsbl.bat"


Sobre el primero, es opcional su uso y sobre el segundo, tampoco es malware:

Código: Seleccionar todo

http://66.102.9.104/search?q=cache:KvL7qzzSerwJ:spywaredlls.prevx.com/RREDHI43985111/TSCDSBL.BAT.html+tscdsbl.bat&hl=es&ct=clnk&cd=4&gl=es

Si no quiere que se ejecuten estas dos aplicaciones, elimine dichas claves:
¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

saludos
ms, 11-09-2008

[MetalMario]

Ok pues he checado que al parecer todo marcha correctamente, esa ventana sigue apareciendo y dice algo como Windows Script Host Version 5.7 Done! Y se cierra solita!!!

Quien sabe que sea eso pero al parecer si es utilizado por el sistema así que preferí dejarlo así...

Espero que el problema desista y todo siga marchandpo como hasta ahora...

Gracias por la ayuda!!!

Atte.

MetalMario!!!

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 13-09-2008