Spam dichoso. Analizar el log

[juanantro]

Hola a todos!



Os escribo para ver si me podeis ayudar a eliminar algun spam dichoso que tengo y que no sé como expulsarlo de mi Pc. El caso es que me sale continuamente una ventana de publicidad que no puedo eliminar. No entiendo mucho de esto, pero le he pasado el spyboot, y nada. Lo mismo he hecho con Antitrojan, y lo mismo. Supongo que no estaré haciendo lo que debería. Por esto, os pido ayuda a ver si conseguimos echar de una vez por todas al spam o como se llame. Os dejo el informe del escaneo con hijackthis.





Muchas gracias de antemano!!







Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:34:15, on 30/06/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Acronis\TrueImageWorkstation\TrueImageMonitor.exe

C:\Archivos de programa\Acronis\TrueImageWorkstation\TimounterMonitor.exe

C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\LeapFrog\LeapFrog Connect Tag\bin\TagMonitor.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Documents and Settings\Juan Antonio\Datos de programa\WindowsLive.exe

C:\Documents and Settings\Juan Antonio\Datos de programa\cft\cft.exe

C:\Documents and Settings\Juan Antonio\Datos de programa\pridl\pridl.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\IncrediMail\bin\IMApp.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe

C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe

C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Archivos de programa\IncrediMail\bin\IncMail.exe

C:\Archivos de programa\Spotify\spotify.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: MJCore - {D88E1558-7C2D-407A-953A-C044F5607CEA} - C:\Archivos de programa\Jcore\Jcore2.dll (file missing)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Archivos de programa\Acronis\TrueImageWorkstation\TrueImageMonitor.exe

O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Archivos de programa\Acronis\TrueImageWorkstation\TimounterMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [TagMonitor] "C:\Archivos de programa\LeapFrog\\LeapFrog Connect Tag\bin\TagMonitor.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\sprtcmd.exe" /P Telefonica

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Windows Live] C:\Documents and Settings\Juan Antonio\Datos de programa\WindowsLive.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [IncrediMail] C:\Archivos de programa\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Windows Live] C:\Documents and Settings\Juan Antonio\Datos de programa\WindowsLive.exe

O4 - HKCU\..\Run: [cft] C:\Documents and Settings\Juan Antonio\Datos de programa\cft\cft.exe

O4 - HKCU\..\Run: [pridl] "C:\Documents and Settings\Juan Antonio\Datos de programa\pridl\pridl.exe" 61A847B5BBF7281132983A466188719AB689201522886B092CBD44BD8689220221DD3257

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.es/s/v/30.66/uploader2.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://static.slide.com/uploader/SlideImageUploader.cab

O16 - DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} (ContactExtractor Class) - http://www.facebook.com/controls/contactx.dll

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CBE47F32-2D41-4085-9386-03D0FD139229}: NameServer = 80.58.61.250,80.58.61.254

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\Archivos de programa\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe



--

End of file - 11025 bytes

[msc hotline sat]

Pues vemos estos sospechosos:



C:\Documents and Settings\Juan Antonio\Datos de programa\WindowsLive.exe



C:\Documents and Settings\Juan Antonio\Datos de programa\cft\cft.exe



C:\Documents and Settings\Juan Antonio\Datos de programa\pridl\pridl.exe





envianoslos para analizar:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir los ficheros, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 30-6-2009









NOTA: y si quieres, añade .VIR a su extension, para que no se carguen a partir del proximo reinicio. Si no fuera el caso, siempre puedes luego quitarsela, pero vamos, que tienen muchos números ... :mrgreen: :



http://www.threatexpert.com/files/windowslive.exe.html



http://www.prevx.com/filenames/2166930861219690221-X1/CFT.EXE.html



http://www.prevx.com/filenames/2494117250145906713-X1/PRIDL.EXE.html



ms.

[flacoroo]

actualiza a SP 3

tienes:

Platform: Windows XP SP2 (WinNT 5.01.2600)

[msc hotline sat]

Sí, y aunque no lo muestre el HJT, posiblemente te falta tambien el del Conficker, MS08-067, pero esto ya lo veremos mañana, cuando implementemos el control y eliminacion de los malwares de las muestras solicitadas, y con la utilidad en cuestión, aparecerá la falta de dichos parches si aun no has lanzado un windowsupdate.



Esperamos recibir las muestras solicitadas para analizarlas y obrar en consecuencia, de lo cual informaremos.



saludos



ms, 30-6-2009

[msc hotline sat]

Recibidas las muestras, se analizarn y controlaran a partir del ELISTARA 18.93




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 1-7-2009

[msc hotline sat]

El preanalisis inicial confirma que se trata de malwares:



File cft.exe received on 2009.07.01 07:16:13 (UTC)



Result: 17/41 (41.47%)



File size: 33792 bytes

MD5...: 2bb685c5334c305a65324d9b2bc4e6e7

SHA1..: da398e46e6d0dfdaed836523920efe839086cded



________





File WindowsLive.exe received on 2009.07.01 07:17:44 (UTC)



Result: 7/41 (17.08%)



File size: 3293858 bytes

MD5...: a85abc2a9ac67a38cf34010c21c24422

SHA1..: bd2e36de7f6d7dd8cf88cb2651b8e7b3711820d4





_________





File pridl.exe received on 2009.07.01 07:16:36 (UTC)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED





Result: 17/41 (41.47%)







Así que mientras tanto puedes añadir a estos tres ficheros la extension .VIR para que tras reiniciar ya no se puedan porner en uso, a ver si con ellos aparcados, ya eliminamos las anomalias



saludos



ms, 1-7-2009

[juanantro]

Muchas gracias por la ayuda hasta ahora. Quiero aislar los archivos según me decis. Pero tengo una duda: añadir la extensión .vir quiere decir borrar por completo la .exe y poner .vir, o que quede .exe.vir? Perdonad mi incultura informática!



Gracias de nuevo!



Juanantro

[msc hotline sat]

Es preferible AÑADIR a la extension actual , la .VIR, asi el fichero queda, por ejemplo, cft.exe.vir de forma que la última, que es la que vale (la anterior pasa a formar parte del nombre), sea VIR , pero dejando la que hubiera, vemos de que tipo de fichero se trata, ya que sino, podría ser originalmente .DLL, .EXE, .SCR, .PIF, etc. y añadiendo la ultima en lugar de sustituirla, sabemos cual era la inicial.



saludos



ms, 1-7-2009

[juanantro]

Muchas gracias por tu respuesta. Voy a cambiar las extensiones de los tres archivos y continuo a la espera de que me digáis los siguientes pasos a seguir.





Juanantro

[msc hotline sat]

Estamos en ello, y si bien son malwares, en dos de ellas hay restos de un VIRUT, y esto es harina de otro costal, pues se trata de un virus infector.



Como que en tal caso se ha de limpiar con un antivirus, bajate esta utilidad :



ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe



y arrancando en modo seguro la lanzas a ver si hacemos limpieza.



y nos cuentas el resultado



Aparte, hoy subiremos el ELISTARA 18.93 para los nuevos troyanos.



saludos



ms, 1-7-2009

[juanantro]

Ok. Ahora estoy pasando el launch. Veo que vais a subir Elistar 18.93. Me he asomado al enlace pero no veo la opción de descarga gratuita. Por favor, confírmame si existe de manera gratuita, o hay que mandar un sms para poder descargarlo.



muchas gracias !!





juanantro

[msc hotline sat]

Ya está subida la version 18.93 del ELISTARA, Y sí, hay que enviar un SMS para pedir el código de descarga.



saludos



ms, 1-7-2009