Martfinder y otros

stolsky · Mensaje por **stolsky** » 22 Nov 2004, 22:05

Hola amigos:

Tengo el ordenador hecho una pena con el martfinder y otros spywares. Dispongo de W XP/SP2, Firewall activado, McAfee actualizado y he pasado útima versión de Ad-ware, Sin Espías 3.0 y HijackThis c1.98.2

En concreto, tengo problemas de que no arranca el Internet Explorer, no aparece como aplicación arrancada, pero aparece tantas veces como le pincho en la lista de procesos activos. Tb tengo problemas de que cuando cierro una aplicación, permanece activa como proceso y, cuando la intento arrancar, me dice que ya está en uso, lo que me obliga a matarla.

Sobre el Martfinder, me lo detecta Sin Espias 3.0 con la siguiente información de registro: Martfinder. Peligrosidad muy alta. Ubicacion hkey_local_machine\software\microsoft\internet explorer\main,start page

Ad-ware me detecta permanentemente objetos críticos que luego vuelven a aparecer, concretamente, un programa loop de nombre variable que se reconstruye con otro nombre, lo utiliza algún proceso con nombres del tipo p.e. kpyfmieh.exe, utilizando tb ficheros de nombre variable como ~DF24B8.tmp en la carpeta C:\Documents and Settings\José Luis\Configuración local\Temp. El resumen del log con lo más significativo es el siguiente:

#:32 [iexplore.exe]

FilePath : c:\archiv~1\intern~1\

ProcessID : 2508

ThreadCreationTime : 23-11-2004 11:16:21

BasePriority : Normal

FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 6.00.2900.2180

ProductName : Sistema operativo Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Internet Explorer

InternalName : iexplore

LegalCopyright : © Microsoft Corporation. Reservados todos los derechos.

OriginalFilename : IEXPLORE.EXE

Lop Object Recognized!

Type : Process

Data : hnraicpp.exe

Category : Malware

Comment : (CSI MATCH)

Object : c:\docume~1\joslui~1\config~1\temp\

Warning! Lop Object found in memory(c:\docume~1\joslui~1\config~1\temp\hnraicpp.exe)

"c:\docume~1\joslui~1\config~1\temp\hnraicpp.exe"Process terminated successfully

"c:\archiv~1\intern~1\iexplore.exe"Process terminated successfully

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : josé luis@ayb.lop[1].txt

Category : Data Miner

Comment : Hits:1

Value : Cookie:josé luis@ayb.lop.com/

Expires : 24-11-2004 12:19:14

LastSync : Hits:1

UseCount : 0

Hits : 1

Tracking cookie scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 1

Objects found so far: 33

Summary Of This Scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Total scanning time:00:12:33.109

Objects scanned:116716

Objects identified:2

Objects ignored:0

New critical objects:2

A pesar de que me los peino con la limpieza del Ad-ware, pues eso, que volvemos a la misma historia.

El log de HijackThis es el siguiente:

Logfile of HijackThis v1.98.2

Scan saved at 12:56:01, on 23/11/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\vstskmgr.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\WLANSTA.EXE

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\Archivos de programa\CW4\cw4.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Opera\opera.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\José Luis\Configuración local\Temp\HijackThis.exe

C:\Archivos de programa\SinEspias\No-Spy.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

c:\archiv~1\intern~1\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.avnlyiowkjeopvpjiepalpx.net/okL4w5ajY9WVMgvnQqbKVR/MQiXGwpeRcRLnyULlM7G9PmyQoX8fgstzX1wThhIj.jsp

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [CW] "C:\Archivos de programa\CW4\cw4.exe"

O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [Spyware Cleaner] C:\Archivos de programa\DreamGroup\sin-espias\No-Spy.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab

O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3D11C361-4210-40D4-AEC0-AFA08BDAB9FB}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{3D11C361-4210-40D4-AEC0-AFA08BDAB9FB}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{3D11C361-4210-40D4-AEC0-AFA08BDAB9FB}: NameServer = 80.58.61.250,80.58.61.254

Un saludo, gracias por vuestra labor y no dudo en pinchar el banner en agradecimiento a la buena labor que estais haciendo. Mis felicitaciones y Salu2,

Mensaje por **maura63** » 22 Nov 2004, 22:16

Spybot S&D

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://kujoe.com/freeware/spybot.php

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp

Y por si tienes secuestro del navegador

CWSHREDDER 2.0

http://www.softpedia.com/public/cat/10/17/10-17-150.shtml

Pasalos en modo seguro y desactiva restaurar sistema antes.

Actualiza Spybot una vez descargado.

Saludos

maura63