todo un lio

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
lidis
Mensajes: 18
Registrado: 17 Jun 2008, 20:35

todo un lio

Mensaje por lidis » 01 Oct 2008, 09:42

Hola chicos, cometi el peor error, conecte mi notebook a internet mientras instalaba el antivirus y en un ratito me llene de bichos. Aca va el post de hjt para que me den una manito. Acepto cualquier sugerencia.AHora tengo instalado bitdefender que me limpio de troyanos, pero tengo algunos problemas sin resolver todavia.



Logfile of HijackThis v1.99.1

Scan saved at 04:37:46 a.m., on 01/10/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\System32\ICO.EXE

C:\WINDOWS\System32\ezSP_Px.exe

C:\WINDOWS\System32\mdm.exe

C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\drivers\FmMgr.exe

C:\Archivos de programa\PowerPanel\Program\PcfMgr.exe

c:\8b4l8r9h1v9.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Archivos de programa\Softwin\BitDefender10\bdagent.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\Archivos de programa\Softwin\BitDefender10\vsserv.exe

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\Archivos de programa\Softwin\BitDefender10\bdmcon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\LIDIA\CONFIG~1\Temp\Rar$EX05.981\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sony-latin.com/vaio/info

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\system32\drivers\PrdMgr.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [FmMgr.exe] C:\WINDOWS\system32\drivers\FmMgr.exe

O4 - HKLM\..\Run: [BDMCon] C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDAgent] "C:\Archivos de programa\Softwin\BitDefender10\bdagent.exe"

O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\CalibAdobe Gamma Loader.exe

O4 - Global Startup: PowerPanel.lnk = ?

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: START_PAGE_URL=http://www.sony-latin.com/vaio/info

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222811485946

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=23100

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Sptisrv.exe

O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Archivos de programa\SONY\VAIO Media Integrated Server\Music\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)

O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Archivos de programa\SONY\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)

O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Archivos de programa\SONY\VAIO Media Integrated Server\Platform\UPnPFramework.exe

O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Archivos de programa\Sony\VAIO Media Integrated Server\Photo\appsrv\PhotoAppSrv.exe

O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Archivos de programa\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)

O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Archivos de programa\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe

O23 - Service: VAIO Media Video Server (VAIOMediaPlatform-VideoServer-AppServer) - Unknown owner - C:\Archivos de programa\SONY\VAIO Media Integrated Server\Video\GPVSvr.exe" /Service=VAIOMediaPlatform-VideoServer-AppServer /DisplayName="VAIO Media Video Server (file missing)

O23 - Service: VAIO Media Video Server (HTTP) (VAIOMediaPlatform-VideoServer-HTTP) - Unknown owner - C:\Archivos de programa\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-VideoServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\VideoServer\HTTP (file missing)

O23 - Service: VAIO Media Video Server (UPnP) (VAIOMediaPlatform-VideoServer-UPnP) - Sony Corporation - C:\Archivos de programa\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender10\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Arriba
Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:
Contactar lucl

Re: todo un lio

Mensaje por lucl » 01 Oct 2008, 11:04

De entrada y lo mas importante esto



Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



debes actualizar tu pc urgentemente , estamos ya por el sp3 y tu tan solo tienes el 1!!



ademas esta entrada



c:\8b4l8r9h1v9.exe



sabes lo que es? subelo a analizar a virustotal y nos pegas el log resultante



www.virustotal.com/es



si da virico nos lo envias para analizarlo siguiendo las instrucciones del link siguiente



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y lo renombras a .VIR para que no te incordie mientras te damos la herramienta adecuada, tu ve haciendo y nos comentas

saludos
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: todo un lio

Mensaje por msc hotline sat » 01 Oct 2008, 11:56

Y ademas del que indica lucl: c:\8b4l8r9h1v9.exe



envianos tambien estos otros:



C:\WINDOWS\system32\drivers\FmMgr.exe



C:\WINDOWS\System32\mdm.exe



%WINDIR%\system32\drivers\PrdMgr.exe





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 1 de Octubre de 2008
Arriba
lidis
Mensajes: 18
Registrado: 17 Jun 2008, 20:35

Re: todo un lio

Mensaje por lidis » 01 Oct 2008, 14:56

Gracias chicos, encontre dos de los archivos que me mencionaron y como efectivamente hay varios troyanos implicados,ya envie la muestra. Espero su ayuda.!
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: todo un lio

Mensaje por msc hotline sat » 01 Oct 2008, 15:48

Pues por si los otros dos tuvieran atributos de oculto o de sistema y no los vieras, mira esto, a ver si puedes localizarlos y enviarlos, sino podríamos dejar "gato encerrado" aunque mejor sería decir "Troyano encerrado" :wink:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



y si los encuentras, envianoslos tambien para analizar



saludos



ms, 1 de Octubre de 2008
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: todo un lio

Mensaje por msc hotline sat » 02 Oct 2008, 10:18

Recibida muestra para analisis, pasamos a implementar su control y eliminacion como Trojan Agent ABUE en la version de hoy del ELISTARA 17.10



Esta noche te la descargas y nos comentas el resultado, posteando el contenido de c:\infosat.txt, gracias



saludos



ms, 2 de Octubre de 2008
Arriba
lidis
Mensajes: 18
Registrado: 17 Jun 2008, 20:35

Re: todo un lio

Mensaje por lidis » 02 Oct 2008, 15:38

Hola de nuevo. y sigo mal....ya habia probado con elistara pero cuando lo bajo de la pagina me dice que el archivo ha sido modificado y no puedo ejecutarlo. Mas ideas?
Arriba
Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:
Contactar lucl

Re: todo un lio

Mensaje por lucl » 02 Oct 2008, 16:03

Si que esperes a la version actualizada de elistara que tendras a partir de las ocho de la tarde de hoy... saludos
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: todo un lio

Mensaje por msc hotline sat » 02 Oct 2008, 18:00

Ojo si te vuelve a decir que ha sido modificado, señal que tienes un virus que lo infecta y al modificarlo, salta la alarma de modificacion del checksum.



En tal caso envianoslo para analizar, y mientras subelo al VirusTotal, a ver de qué virus se te está infectando: www.virustotal.com/es





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 2 de Octubre de 2008
Arriba
Responder

Volver a “Foro HijackThis - copia y pega tu log”