ahi va mi log de hijackthis (SOLUCIONADO)

[pituwan]

Wenas tengo un problemilla con un troyano que se instalo en mi ordenador, el caso es que pude eliminarlo pero no totalmente y cada vez me salta el antivirus diciendo que de accesos denegado a una serie de archivos que no puedo eliminar ni con killbox.



Aqui os pego el log:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:25, on 20/10/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Documents and Settings\All Users\Datos de programa\EPSON\EPW!3 SSRP\E_S40RP7.EXE

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\DNA\btdna.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Real\RealPlayer\realplay.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Archivos de programa\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1222260144656

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Datos de programa\EPSON\EPW!3 SSRP\E_S40RP7.EXE

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe



--

End of file - 6519 bytes



Por cierto acabo de pasar el ewido (limpiado y todo) y el kapersky que me ha detectado:



lunes, 20 de octubre de 2008 18:42:19

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 20/10/2008

Registros en la base antivirus: 1186283





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Áreas críticas

C:\WINDOWS

C:\DOCUME~1\mipc\CONFIG~1\Temp\



Estadísticas

Número de objeros analizados 25481

Virus encontrados 1

Objetos infectados 1 / 0

Objetos sospechosos 0

Duración del análisis 00:28:09



Bombre del objeto infectado Nombre del virus Última acción

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\efma.exe Infectados: Trojan.Win32.Vapsup.maq saltado



C:\WINDOWS\SchedLgU.Txt Object is locked saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado



C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\Internet.evt Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado



C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



C:\DOCUME~1\mipc\CONFIG~1\Temp\IH4870.tmp Object is locked saltado



C:\DOCUME~1\mipc\CONFIG~1\Temp\Perflib_Perfdata_1964.dat Object is locked saltado



Por si me podeis echar una mano!!

Gracias ante todo!!!

[lucl]

Pues envianos este





C:\WINDOWS\[b]efma.exe [/b]



renombralo primero a .VIR y arriba a la derecha de la pagina tienes envio muestras, te diremos algo al respecto saludos

[pituwan]

Wenas de nuevo!!

Intente enviar el archivo por muestras, cambiandole el nombre y no me dejaba, sin embargo probe a eliminarlo y eso si me dejo :shock: entonces volvi a pasar el kapersky y me salio lo siguiente:



lunes, 20 de octubre de 2008 23:01:31

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 20/10/2008

Registros en la base antivirus: 1189309





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Áreas críticas

C:\WINDOWS

C:\DOCUME~1\mipc\CONFIG~1\Temp\



Estadísticas

Número de objeros analizados 25513

Virus encontrados 0

Objetos infectados 0 / 0

Objetos sospechosos 0

Duración del análisis 00:25:09



Bombre del objeto infectado Nombre del virus Última acción

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\SchedLgU.Txt Object is locked saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\edbtmp.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado



C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\Internet.evt Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado



C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



C:\DOCUME~1\mipc\CONFIG~1\Temp\~DF219E.tmp Object is locked saltado



C:\DOCUME~1\mipc\CONFIG~1\Temp\~DF21DA.tmp Object is locked saltado



C:\DOCUME~1\mipc\CONFIG~1\Temp\~DFAE11.tmp Object is locked saltado



C:\DOCUME~1\mipc\CONFIG~1\Temp\~DFB8D8.tmp Object is locked saltado



Bueno si aparte de lo anterior existe todavias evidencias de algo anterior, avisadme!!

Gracias de antemano

[msc hotline sat]

Pues otra vez, antes de eliminar un fichero que se te pide enviar como muestra, si tienes problemas dinoslo, pues borrandolo has hecho un flaco favor a este foro !!! Así no lo vamos a controlar para los demas ...



Simplemente empaquetando dicho fichero en un ZIP o RAR con password virus, como decimos parav el envio de muestras, se envian los ficheros sospechosos sin problemas (asi lo estamos haciendo desde hace mas de 15 años diariamente con McAfee )



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Y para cerrar el Tema vemos que tienes instalados dos antivirus, AVIRA y NOD32. Escoje uno de los dos y desinstala el otro. No deben haber dos antivirus en un mismo ordemador, para evitar colisiones y ralentizacion



Y dando por solucionado el Tema, procedemos a cerrarlo



saludos



ms, 21-10-2008