creo que estoy infectado (CERRADO)

agel · Mensaje por **agel** » 23 Jul 2009, 22:35

Agradecería que me ayudaran. Muchas gracias.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:35:09, on 23/07/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Hewlett-Packard\HP Easy Printer Care\HPPRun.exe

C:\Archivos de programa\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\WINDOWS\system32\ms18_word.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Documents and Settings\asm\ms18_word.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Hewlett-Packard\HP Device Communication Services\AppInterfaces\HPDeviceHost.exe

C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Archivos de programa\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Archivos de programa\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [RunTasktray] "C:\Archivos de programa\Hewlett-Packard\HP Easy Printer Care\HPPRun.exe" --regkeypath=Software\Hewlett-Packard\HP Easy Printer Care\HPPRun --valuename=InstallTTM

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

O4 - HKLM\..\Run: [CTDVDDet] C:\Archivos de programa\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [ms18_word] C:\WINDOWS\system32\ms18_word.exe

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ms18_word] C:\Documents and Settings\asm\ms18_word.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: http://*.hp.com (HKLM)

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O18 - Protocol: HPDCS - {BA135F49-A12C-4E26-A2C4-6EA945999072} - C:\Archivos de programa\Archivos comunes\Hewlett-Packard\HP Device Communication Services\APP\hpdcsapp.dll

O18 - Protocol: hppfile - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - C:\Archivos de programa\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll

O18 - Protocol: hppsam - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - C:\Archivos de programa\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll

O18 - Protocol: hppzip - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - C:\Archivos de programa\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Archivos de programa\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 7950 bytes

Mensaje por **lucl** » 23 Jul 2009, 23:08

Para empezar te faltan muchisimas actualizaciones que son vitales para el buen funcionamiento del pc. Ve a inicio todos los programas windows update e instalalas. Luego descargate esta herramienta que te indico y pasala en tu pc, te dejara un log en C infosat.txt cuyo resultado debes pegarnos como respuesta al tema, saludos.

http://www.zonavirus.com/descargas/elistara.asp

Mensaje por **msc hotline sat** » 24 Jul 2009, 05:59

Y ademas de lo correctamente indicado por lucl, :

Vemos estos ficheros con nombre ms18_word.exe en:

C:\WINDOWS\system32\ms18_word.exe

C:\Documents and Settings\asm\ms18_word.exe

y probablemente este ~~[b]~~[i]ms18_word.exe[/i][/b] es malicioso : http://www.prevx.com/filenames/X300936917192068694-X1/MS18_WORD.EXE.html

envianoslo ~~[b]~~[u]URGENTEMENTE [/u][/b] para analizar

y este otro es sospechoso, envianoslo tambien, aunque podría ser del MSN, pero ya veremos...:

C:\Archivos de programa\Outlook Express\msimn.exe

envianoslos para analizar, ~~[b]~~[u]pero hazlo urgentemente ya que hoy cerramos por vacaciones en SATINFO, a las 15 horas de España[/u][/b]...

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 24-7-2009

agel · Mensaje por **agel** » 24 Jul 2009, 10:00

Muchas gracias. Ya he enviado las muestras.

Mensaje por **msc hotline sat** » 24 Jul 2009, 10:23

Pues recibidas las muestras, las hemos pasado a analizar y como era previsible, el MS18_WORD.EXE es un troyano:

File ms18_word.exe received on 2009.07.24 08:18:39 (UTC)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 11/41 (26.83%)

File size: 41472 bytes

MD5...: 5f168d060be28968c9a9c3906fa63272

SHA1..: 3ac68a369cb0f5ce343dfd348390e380f2eae3c7

Y con el ELIMD5 ya se puede detectar y eliminar, añadiendo cualquiera de los dos hashes indicados (MD5 o SHA1 indistintamente)

ELIMD5.EXE

http://www.zonavirus.com/descargas/elimd5.asp

Aparte con el ELISTARA de hoy lo pasaremos a controlar y eliminar.

En cambio el otro, el MSIMN.EXE ha sido un falso positivo. Dejelo estar.

[quote]
~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 15 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 24-7-2009

Mensaje por **msc hotline sat** » 24 Jul 2009, 13:39

Como información complementaria le informamos que en la monitorización de este malware ha descargado un SECURENTM.SYS que es un Rootkit, creando un servicio a tal efecto, y crea ademas una clave RUN llamando a un REGEDIT de la carpeta de sistema (el REGEDIT está normalmente en C:\windows, no en windows\system32).

Si tuviera en su ordenador un REGEDIT.EXE en C:\windows\system32\ , envienoslo para analizar y añada la extension .VIR al final, para que tras reiniciar ya no se ponga en marcha.

No hacemos nada con lo del REGEDIT a la espera de recibir muestra del mismo, pues puede ser que intente descargarlo de una web ya cerrada...

Pero el Rootkit y el servicio indicado, lo eliminamos en la version del ELISTARA 19.10 de hoy, además del MS18_WORD.EXE y compañía... :wink:

El preanalisis del indicado SECURENTM.SYS con el VirusTotal:

[quote="VirusTotal"]File RootKit.HareBot.BB__securentm__sy received on 2009.07.24 11:47:42 (UTC)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 25/41 (60.98%)

Antivirus Version Last Update Result

a-squared 4.5.0.24 2009.07.24 Rootkit.Win32.HareBot!IK

AhnLab-V3 5.0.0.2 2009.07.24 Win-Trojan/Rootkit.40576

AntiVir 7.9.0.228 2009.07.24 TR/Crypt.XDR.Gen

Antiy-AVL 2.0.3.7 2009.07.24 Trojan/Win32.HareBot

Authentium 5.1.2.4 2009.07.24 W32/Protector.A.gen!Eldorado

Avast 4.8.1335.0 2009.07.24 Win32:Cutwail

AVG 8.5.0.387 2009.07.24 Rootkit-Pakes.K

BitDefender 7.2 2009.07.24 Gen:Rootkit.Heur.20708FAFAF

CAT-QuickHeal 10.00 2009.07.24 -

ClamAV 0.94.1 2009.07.24 Trojan.Rootkit-1566

Comodo 1749 2009.07.24 -

DrWeb 5.0.0.12182 2009.07.24 -

eSafe 7.0.17.0 2009.07.23 -

eTrust-Vet 31.6.6637 2009.07.24 -

F-Prot 4.4.4.56 2009.07.23 W32/Protector.A.gen!Eldorado

F-Secure 8.0.14470.0 2009.07.24 Rootkit.Win32.HareBot.bb

Fortinet 3.120.0.0 2009.07.24 W32/Dloader.O!tr

GData 19 2009.07.24 Gen:Rootkit.Heur.20708FAFAF

Ikarus T3.1.1.64.0 2009.07.24 Rootkit.Win32.HareBot

Jiangmin 11.0.800 2009.07.24 -

K7AntiVirus 7.10.801 2009.07.24 -

Kaspersky 7.0.0.125 2009.07.24 Rootkit.Win32.HareBot.bb

McAfee 5686 2009.07.23 Generic Dropper.gj

McAfee+Artemis 5686 2009.07.23 Generic Dropper.gj

McAfee-GW-Edition 6.8.5 2009.07.24 Heuristic.BehavesLike.Win32.Obfuscated.L

Microsoft 1.4903 2009.07.24 TrojanDownloader:Win32/Cutwail.AQ

NOD32 4273 2009.07.24 probably a variant of Win32/TrojanDownloader.Wigon.BS

Norman 6.01.09 2009.07.22 -

nProtect 2009.1.8.0 2009.07.24 -

Panda 10.0.0.14 2009.07.24 Trj/CI.A

PCTools 4.4.2.0 2009.07.23 -

Prevx 3.0 2009.07.24 -

Rising 21.39.43.00 2009.07.24 RootKit.Win32.Agent.ezq

Sophos 4.44.0 2009.07.24 Mal/Emogen-Y

Sunbelt 3.2.1858.2 2009.07.23 Rootkit.Win32.Agent.gvv

Symantec 1.4.4.12 2009.07.24 Hacktool.Rootkit

TheHacker 6.3.4.3.373 2009.07.24 -

TrendMicro 8.950.0.1094 2009.07.24 -

VBA32 3.12.10.9 2009.07.24 -

ViRobot 2009.7.24.1851 2009.07.24 -

VirusBuster 4.6.5.0 2009.07.23 -

Additional information

File size: 40576 bytes

MD5...: e7e9bc99b836504ab4af8afdd8702dc8

SHA1..: ba53e9ca5af622263851873c793b89d902b69524 [/quote]

Siendo detectado ya por un 60 % de los antivirus, incluidos los principales como McAfee, Kaspersky, NOD32, Symantec , pero otros como E-Trust. E-Safe, Normal y Trend aun no lo detectan.

Tras descargar la indicada version del ELISTARA Y PROBARLA, POSTEANOS EL INFORME RESULTANTE, GRACIAS

saludos

ms, 24-7-2009

agel · Mensaje por **agel** » 27 Jul 2009, 10:18

Os he enviado el archivo regedt32.exe del system32, pero no he encontrado el regedit.exe. Ahora al arrancar el ordenador me salta el nod32 indicándome que el archivo c:\windows\temp\bn29.tmp está infectado:

[color=#0000FF]27/07/2009 9:38:48 AMON Archivo C:\WINDOWS\TEMP\BN29.tmp Variante modificada de Win32/Kryptik.ZJ (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido en un archivo modificado por la aplicación: C:\WINDOWS\system32\services.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.[/color]

De nuevo os agradecería ayuda. Gracias.

Mensaje por **msc hotline sat** » 27 Jul 2009, 10:43

Veamos, el REDEGIT.EXE ha de estar en C:\windows, pero el que nos has enviado es el REGEDT32.EXE, y este está normalmente en la carpeta de sistema, y el recibido es correcto:

[quote]File regedt32.exe received on 2009.07.27 08:41:26 (UTC)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 0/41 (0%)[/quote]

y el otro que dices c:\windows\temp\bn29.tmp , ya te lo detecta y aparca tu antivirus, y este intento de intrusion puede deberse a falta de parches, que le deciamos actualizara, LO HA HECHO ???

saludos

ms, 27-7-2009

agel · Mensaje por **agel** » 27 Jul 2009, 16:48

He actualizado y al arrancar el ordenador me salta el nod32 con este mensaje,

[color=#0000FF]Suceso ocurrido en un archivo modificado por la aplicación: C:\WINDOWS\system32\services.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.[/color]

[color=#0000FF]27/07/2009 16:47:37 AMON Archivo C:\WINDOWS\TEMP\BN80.tmp Variante modificada de Win32/Kryptik.ZJ (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido en un archivo modificado por la aplicación: C:\WINDOWS\system32\services.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.[/color]

Ya no sé qué hacer.

Mensaje por **msc hotline sat** » 27 Jul 2009, 17:20

Te hemos preguntado si habías instalado los parches pendientes, ya que si no puede que por sus agujeros te estén atacando estos malwares...

Si no los has instalado todavía, hazlo ya !!!

saludos

ms, 27-7-2009

agel · Mensaje por **agel** » 27 Jul 2009, 18:08

Perdonad, sí que he actualizado con el windows update. Este es el archivo del elistara:

(23-7-2009 20:16:47 (GMT))

EliStartPage v19.09 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\RNCSYS32.EXE.Muestra EliStartPage v19.09

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ASM\MENú INICIO\PROGRAMAS\INICIO\RNCSYS32.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINDOWS\UpdReg.EXE"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(23-7-2009 20:19:29 (GMT))

EliStartPage v19.09 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Winamp\eMusic\UNINST-EMUSIC-PROMOTION.EXE --> Eliminado, UnSpyPC(dr)

Nº Total de Directorios: 3514

Nº Total de Ficheros: 42975

Nº de Ficheros Analizados: 15987

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Fri Jul 24 12:35:00 2009

EliMD5 v1.3 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 3691

Nº Total de Ficheros: 52063

Nº de Ficheros Analizados: 11901

Nº de Ficheros Detectados: 0

Nº de Ficheros Eliminados: 0

Fri Jul 24 12:46:09 2009

EliMD5 v1.3 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 6563

Nº Total de Ficheros: 107828

Nº de Ficheros Analizados: 3854

Nº de Ficheros Detectados: 0

Nº de Ficheros Eliminados: 0

Fri Jul 24 12:54:22 2009

EliMD5 v1.3 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 3691

Nº Total de Ficheros: 52068

Nº de Ficheros Analizados: 11901

Nº de Ficheros Detectados: 0

Nº de Ficheros Eliminados: 0

(27-7-2009 9:40:57 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\asm\Datos de programa\WIASERVA.LOG --> Eliminado (Fichero Complementario).

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(27-7-2009 9:42:44 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE

(27-7-2009 9:43:42 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\RNCSYS32.EXE.MUESTRA ELISTARTPAGE V19.09 --> Eliminado, Bredolab.G(dldr)

Nº Total de Directorios: 3701

Nº Total de Ficheros: 51326

Nº de Ficheros Analizados: 21309

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

(27-7-2009 15:43:53 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(27-7-2009 15:44:11 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4331

Nº Total de Ficheros: 54533

Nº de Ficheros Analizados: 22882

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 27 Jul 2009, 18:33

etectado y eliminado, pero el parche MS08-067 parece que falta:

(27-7-2009 9:42:44 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

~~[b]~~[i]No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/i][/b]

Eliminados Ficheros Temporales del IE

(27-7-2009 9:43:42 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

~~[b]~~[i]C:\Muestras\RNCSYS32.EXE.MUESTRA ELISTARTPAGE V19.09 --> Eliminado, Bredolab.G(dldr)[/i][/b]

Revisa lo del parche en Agregar o quitar programas, es el KB958644

saludos

ms, 27-7-2009

agel · Mensaje por **agel** » 27 Jul 2009, 19:40

He comprobado que tengo instalado ese parche. Sin embargo, he vuelto a reiniciar el ordenador y me salta de nuevo el nod32 con este mensaje:

[color=#0000FF]Suceso ocurrido en un archivo modificado por la aplicación: C:\WINDOWS\system32\services.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.[/color]

[color=#0000FF]27/07/2009 19:39:38 AMON Archivo C:\WINDOWS\TEMP\BNBC.tmp Variante modificada de Win32/Kryptik.ZJ (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido en un archivo modificado por la aplicación: C:\WINDOWS\system32\services.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.[/color]

No sé qué hacer para eliminar este troyano y que no me salte cada vez que enciendo el ordenador. Ayuda!

Mensaje por **msc hotline sat** » 27 Jul 2009, 19:48

Sí, parece que se intenta ejecutar desde carpeta temporal, propia de un malware desde internet, este fichero:

C:\WINDOWS\TEMP\BNBC.tmp

Pues algun agujero de seguridad tienes, y a pesar de que digas que tienes instalado el MS08-067, puede que no esté bien. Desinstalalo y vuelvelo a instalar, y hasta que el ELISTARA deje de cantar lo de

~~[b]~~[i]No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/i][/b]

por mas que digas que lo tienes instalado... quizás si, pero mal.

Y es el agujero del servicio servidor, a traves de él te pueden ejecutar remotamente lo que quieran

saludos

ms, 27-7-2009

agel · Mensaje por **agel** » 28 Jul 2009, 11:13

He desistalado el parche y lo he vuelto a instalar, sin embargo al reiniciar vuelve a saltar el nod32 con el mensaje:

[color=#0000FF]Suceso ocurrido en un archivo modificado por la aplicación: C:\WINDOWS\system32\services.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.[/color]

[color=#0000FF]

28/07/2009 10:33:43 AMON Archivo C:\WINDOWS\TEMP\BN7A.tmp Variante modificada de Win32/Kryptik.ZJ (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido en un archivo modificado por la aplicación: C:\WINDOWS\system32\services.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.[/color]

Le he pasado el elistara y os copio su informe.

[color=#FF0080](28-7-2009 8:56:06 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

(28-7-2009 8:56:12 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4487

Nº Total de Ficheros: 54993

Nº de Ficheros Analizados: 23104

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0[/color]

No sé qué hacer. Ayuda! Ahora el cortafuegos no hace más que saltar pidiendo conexiones desconocidas.

agel · Mensaje por **agel** » 28 Jul 2009, 11:25

[color=#FF4040]Os copio la información del HijackThis más actualizada, por si detectáis algo.[/color]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:23:59, on 28/07/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Hewlett-Packard\HP Easy Printer Care\HPPRun.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Hewlett-Packard\HP Device Communication Services\AppInterfaces\HPDeviceHost.exe

C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Archivos de programa\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\AutoCAD 2008\acad.exe

C:\DOCUME~1\asm\CONFIG~1\Temp\AdskCleanup.0001

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Archivos de programa\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [RunTasktray] "C:\Archivos de programa\Hewlett-Packard\HP Easy Printer Care\HPPRun.exe" --regkeypath=Software\Hewlett-Packard\HP Easy Printer Care\HPPRun --valuename=InstallTTM

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

O4 - HKLM\..\Run: [CTDVDDet] C:\Archivos de programa\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Outpost Firewall] "C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe" /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: http://*.hp.com (HKLM)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1248422923406

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O18 - Protocol: HPDCS - {BA135F49-A12C-4E26-A2C4-6EA945999072} - C:\Archivos de programa\Archivos comunes\Hewlett-Packard\HP Device Communication Services\APP\hpdcsapp.dll

O18 - Protocol: hppfile - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - C:\Archivos de programa\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll

O18 - Protocol: hppsam - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - C:\Archivos de programa\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll

O18 - Protocol: hppzip - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - C:\Archivos de programa\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Archivos de programa\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

--

End of file - 9602 bytes

Mensaje por **msc hotline sat** » 28 Jul 2009, 12:31

En el log del HJT no se aprecia nada mas. Si quieres, postea el del SPROCES que es mucho mas exahuativo:

~~[b]~~SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar

saludos

ms, 28-7-2009

agel · Mensaje por **agel** » 28 Jul 2009, 13:24

Le he pasado el sproses y este es el resultado. Yo creo que el troyano puede estar en el SERVICES.EXE o SVCHOST.EXE porque antes me ha empezado a abrir puertos sin parar. Muchas gracias.

(28-7-2009 11:21:31 GMT)

SProces v3.9 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: ANGEL2

Nombre Usuario: asm

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP EASY PRINTER CARE\HPPRUN.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\SBAUDIGY2\SURROUND MIXER\CTSYSVOL.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\SBAUDIGY2\DVDAUDIO\CTDVDDET.EXE

C:\WINDOWS\SYSTEM32\CTHELPER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_03\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\HEWLETT-PACKARD\HP DEVICE COMMUNICATION SERVICES\APPINTERFACES\HPDEVICEHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AUTODESK SHARED\SERVICE\ADSKSCSRV.EXE

C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSVW.EXE

C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE

C:\ARCHIVOS DE PROGRAMA\AUTODESK\3DS MAX 9\MENTALRAY\SATELLITE\RAYSAT_3DSMAX9_32SERVER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

D:\SOFTWARE\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [RunTasktray] "C:\Archivos de programa\Hewlett-Packard\HP Easy Printer Care\HPPRun.exe" --regkeypath=Software\Hewlett-Packard\HP Easy Printer Care\HPPRun --valuename=InstallTTM

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

O4 - HKLM\..\Run: [CTDVDDet] C:\Archivos de programa\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Gamma.lnk

O4 - Global Startup: Adobe Reader Synchronizer.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk

O4 - Global Startup: Microsoft Office.lnk

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1248422923406

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: HPDCS - {BA135F49-A12C-4E26-A2C4-6EA945999072} - C:\Archivos de programa\Archivos comunes\Hewlett-Packard\HP Device Communication Services\APP\hpdcsapp.dll

O18 - Protocol: hppfile - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - C:\Archivos de programa\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll

O18 - Protocol: hppsam - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - C:\Archivos de programa\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll

O18 - Protocol: hppzip - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - C:\Archivos de programa\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: i386si - Unknown owner - C:\WINDOWS\system32\drivers\i386si.sys (file missing)

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Archivos de programa\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: PfModNT - Creative Technology Ltd. - C:\WINDOWS\system32\drivers\PfModNT.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: ws2_32sik - Unknown owner - C:\WINDOWS\system32\drivers\ws2_32sik.sys (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Outpost Firewall PlugIn (ADBLOCK.DLL) (ADBLOCK.DLL) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\kernel\ADBLOCK.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AnyDVD - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\AnyDVD.sys

O23 - Service: Outpost Firewall PlugIn (ARP.DLL) (ARP.DLL) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\kernel\ARP.DLL

O23 - Service: Outpost Firewall PlugIn (CONTENT.DLL) (CONTENT.DLL) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\kernel\CONTENT.DLL

O23 - Service: Creative AC3 Software Decoder (ctac32k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctac32k.sys

O23 - Service: Creative Audio Driver (WDM) (ctaud2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctaud2k.sys

O23 - Service: Creative DVD-Audio Device Driver (ctdvda2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctdvda2k.sys

O23 - Service: Creative Proxy Driver (ctprxy2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctprxy2k.sys

O23 - Service: Creative SoundFont Management Device Driver (ctsfm2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctsfm2k.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Outpost Firewall PlugIn (DNSCACHE.DLL) (DNSCACHE.DLL) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\kernel\DNSCACHE.DLL

O23 - Service: HP Dot4USB Filter (dot4ufd) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\hppaufd0.sys

O23 - Service: Intel(R) PRO/1000 Adapter Driver (E1000) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1000325.sys

O23 - Service: E-mu Plug-in Architecture Driver (emupia) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\emupia2k.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Outpost Firewall PlugIn (FTPFILT.DLL) (FTPFILT.DLL) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\kernel\FTPFILT.DLL

O23 - Service: Creative Hardware Abstract Layer Driver (ha10kx2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ha10kx2k.sys

O23 - Service: Creative P16V HAL Driver (hap16v2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\hap16v2k.sys

O23 - Service: Outpost Firewall PlugIn (HTMLFILT.DLL) (HTMLFILT.DLL) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\kernel\HTMLFILT.DLL

O23 - Service: Outpost Firewall PlugIn (HTTPFILT.DLL) (HTTPFILT.DLL) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\kernel\HTTPFILT.DLL

O23 - Service: Outpost Firewall PlugIn (IMAPFILT.DLL) (IMAPFILT.DLL) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\kernel\IMAPFILT.DLL

O23 - Service: Outpost Firewall PlugIn (MAILFILT.DLL) (MAILFILT.DLL) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\kernel\MAILFILT.DLL

O23 - Service: Outpost Firewall PlugIn (NNTPFILT.DLL) (NNTPFILT.DLL) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\kernel\NNTPFILT.DLL

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Creative OS Services Driver (ossrv) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\ctoss2k.sys

O23 - Service: Outpost Firewall PlugIn (POP3FILT.DLL) (POP3FILT.DLL) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\kernel\POP3FILT.DLL

O23 - Service: Outpost Firewall PlugIn (PROTECT.DLL) (PROTECT.DLL) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\kernel\PROTECT.DLL

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Outpost Firewall PlugIn (SECRET.DLL) (SECRET.DLL) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\kernel\SECRET.DLL

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

46 Servicios.

13 de Carga Automatica.

32 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 28 Jul 2009, 16:04

Bueno, tamnto el Services.exe como el SVCHOST.EXE de la carpeta de sistema, son del sistema operativo, y en todo caso es alguna aplicacion que lanzan la que puede estar infectada.

Por si acaso, elimina esta clave:

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab

y a ver si puedes enviarnos para analizar estos ficheros:

C:\WINDOWS\system32\drivers\i386si.sys

C:\WINDOWS\system32\drivers\PfModNT.sys

C:\WINDOWS\SYSTEM32\drivers\emupia2k.sys

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

El tercero era el menos probable de ser malware, podria muy bien ser de Creative, pero el primero es el que es mas probable:

http://www.prevx.com/filenames/X1394515451115760138-X1/I386SI.SYS.html

saludos

ms, 28-7-1009

agel · Mensaje por **agel** » 28 Jul 2009, 16:48

Os he enviado dos muestras. El tercer archivo no lo encuentro. ¿Cómo elimino la clave que me decís'

Mensaje por **msc hotline sat** » 28 Jul 2009, 17:14

Sí, tal como se indica al final del Tama que indicabamos:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Lanza el HJT, escoje la 2ª opcion, marca la casilla dela izquierda de la clave indicada y pulsa en FIX CHECKED

Y mañana analizaremos losdos ficheros que dice nos envia, e informaremos

saludos

ms, 28-7-2009

NOTA: La mas importante de todas las muestras es la primera: http://www.prevx.com/filenames/X1394515451115760138-X1/I386SI.SYS.html

Las otras dos podrían ser de Creative... mientras haya enviado la primera, creo que será suficiente. ms.

Mensaje por **msc hotline sat** » 29 Jul 2009, 13:57

Pues las dos que nos ha enviado no han resultado ser viricas, y nos falta la que realmente teníamos constancia de que era maliciosa

C:\WINDOWS\system32\drivers\i386si.sys

si no la encuentra podemos eliminar esta clave del servicio con el ELISERV indicando que el servicio a eliminar es : ~~[b]~~[i] i386si[/i][/b]

ELISERV

http://www.zonavirus.com/datos/descargas/273/eliservexe.asp

Tras ello reinicie y vea si persisten anomalias o ha quedado solucionado el problema, y nos informa, gracias

saludos

ms, 29-7-2009

agel · Mensaje por **agel** » 29 Jul 2009, 18:48

Ayer pude eliminar ese archivo pasando el programa Malwarebytes y por eso no lo debo encontrar. Sin embargo hoy me salta el nod32 con este mensaje. Ya no sé qué hacer.

[color=#BF0080]Suceso ocurrido en un archivo modificado por la aplicación: C:\WINDOWS\System32\svchost.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

29/07/2009 15:42:47 AMON Archivo D:\System Volume Information\_restore{E943CB4C-D5F3-4518-85D6-4FF14DEAC497}\RP50\A0007844.exe Probablemente una variante modificada de (Troyano) Win32/TrojanDownloader.Agent Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido en un archivo modificado por la aplicación: C:\WINDOWS\System32\svchost.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.[/color]

Mensaje por **msc hotline sat** » 29 Jul 2009, 19:09

Y quien te ha dicho que eliminaras el fichero que te pedimos nos envies !!! ???

Estas utilizando lo que no te decimos, asi no te podemos ayudar.

Si has borrado el fichero que te pedimos con otras herramientas, allá tu.

Haz lo que te decimos y si encuentras los ficheros pedidos, los envias y los analizaremos. Si los has eliminado, has quemado tus barcos ...

Damos el Tema por terminado y procedemos a cerrarlo

Solo si tienes y nos envias lo que te pedimos, puedes enviarnoslo y lo volveríamos a abrir.

saludos

ms, 29-7-2009

creo que estoy infectado (CERRADO)

creo que estoy infectado (CERRADO)

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado

Re: creo que estoy infectado