infeccion del security sphera 2012

[Neho]

Hola a todos.

Antetodo presentarme como nuevo usuario del foro .

Mi problema comenzo hace una semana .Cuando me comenzaron a salir alertas de que mi pc estaba infectada ( alertas de windows security ).

Comence a leer en diversos foros y en todos aconsejaban pasar antivirus y anti malwares .

El problema era que no podia ejecutar ningun programa desde mi pc.

instale un 2º s.o. en la particion y desde hay pude pasar el ccleane, malwarebytes, troyan remove que me permitio comenzar a poder ejecutar programas desde mi s.o. primcipal , con el inconveniente que cadaq vez lo he de hacer atraves de [b]ejecutar como[/b] y demostrar que soy el admin.

No puedo arrancar el pc desde modo seguro , y en este momento aunque todos los programas me digan que no tengo ningun proceso maligno , no me fio .

De manera que agradeceria miraseis mi logfile del Hijackhis , y me indicaseis si verdaderamente esta bien .

SI SIRVE DE REFERENCIA : WINDOWS XP sp3



Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 21:56:16, on 29/12/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.2180)

Boot mode: Normal



Running processes:

L:\WINDOWS\System32\smss.exe

L:\WINDOWS\system32\winlogon.exe

L:\WINDOWS\system32\services.exe

L:\WINDOWS\system32\lsass.exe

L:\WINDOWS\system32\svchost.exe

L:\WINDOWS\System32\svchost.exe

L:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

L:\WINDOWS\system32\spoolsv.exe

L:\Archivos de programa\Creative\Shared Files\CTAudSvc.exe

L:\Archivos de programa\SUPERAntiSpyware\SASCORE.EXE

L:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

L:\ARCHIV~1\AVG\AVG8\avgfws8.exe

L:\WINDOWS\System32\svchost.exe

L:\Archivos de programa\Canon\IJPLM\IJPLMSVC.EXE

L:\Archivos de programa\Java\jre6\bin\jqs.exe

L:\Archivos de programa\Malwarebytes Anti-Malware\mbamservice.exe

L:\ARCHIV~1\AVG\AVG8\avgam.exe

L:\ARCHIV~1\AVG\AVG8\avgrsx.exe

L:\ARCHIV~1\AVG\AVG8\avgnsx.exe

L:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe

L:\WINDOWS\system32\nvsvc32.exe

L:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

L:\WINDOWS\system32\svchost.exe

L:\Archivos de programa\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe

L:\ARCHIV~1\AVG\AVG8\avgemc.exe

L:\Archivos de programa\AVG\AVG8\avgcsrvx.exe

L:\Archivos de programa\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe

L:\WINDOWS\Explorer.EXE

L:\ARCHIV~1\AVG\AVG8\avgtray.exe

L:\WINDOWS\system32\CTHELPER.EXE

L:\Archivos de programa\Canon\MyPrinter\BJMyPrt.exe

L:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe

L:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

L:\WINDOWS\system32\RUNDLL32.EXE

L:\WINDOWS\RTHDCPL.EXE

L:\Archivos de programa\Malwarebytes Anti-Malware\mbamgui.exe

L:\Archivos de programa\Megaupload\Mega Manager\MegaManager.exe

L:\Archivos de programa\uTorrent\uTorrent.exe

L:\Archivos de programa\Microsoft Office\Office14\MSOSYNC.EXE

L:\Archivos de programa\Samsung\Kies\KiesTrayAgent.exe

L:\Archivos de programa\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe

L:\WINDOWS\system32\ctfmon.exe

L:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

L:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

L:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.ldc.mx/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:53455

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - L:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - L:\ARCHIV~1\MICROS~2\Office14\GROOVEEX.DLL

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - L:\ARCHIV~1\MICROS~2\Office14\URLREDIR.DLL

O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - L:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - L:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - L:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [AVG8_TRAY] L:\ARCHIV~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CanonSolutionMenu] L:\Archivos de programa\Canon\SolutionMenu\CNSLMAIN.exe /logon

O4 - HKLM\..\Run: [CanonMyPrinter] L:\Archivos de programa\Canon\MyPrinter\BJMyPrt.exe /logon

O4 - HKLM\..\Run: [SSBkgdUpdate] "L:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "L:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe"

O4 - HKLM\..\Run: [RemoteControl] "L:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [OSSelectorReinstall] L:\Archivos de programa\Archivos comunes\Acronis\Acronis Disk Director\oss_reinstall.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE L:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE L:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [igfxpers] L:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "L:\Archivos de programa\Malwarebytes Anti-Malware\mbamgui.exe" /starttray

O4 - HKLM\..\Run: [TrojanScanner] L:\Archivos de programa\Trojan Remover\Trjscan.exe /boot

O4 - HKCU\..\Run: [Mega Manager] L:\Archivos de programa\Megaupload\Mega Manager\MegaManager.exe /Tray

O4 - HKCU\..\Run: [uTorrent] "L:\Archivos de programa\uTorrent\uTorrent.exe" /MINIMIZED

O4 - HKCU\..\Run: [OfficeSyncProcess] "L:\Archivos de programa\Microsoft Office\Office14\MSOSYNC.EXE"

O4 - HKCU\..\Run: [KiesHelper] L:\Archivos de programa\Samsung\Kies\KiesHelper.exe /s

O4 - HKCU\..\Run: [KiesTrayAgent] L:\Archivos de programa\Samsung\Kies\KiesTrayAgent.exe

O4 - HKCU\..\Run: [KiesPDLR] L:\Archivos de programa\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe

O4 - HKCU\..\Run: [ctfmon.exe] L:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] L:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] L:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] L:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] L:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] L:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O8 - Extra context menu item: &Enviar a OneNote - res://L:\ARCHIV~1\MICROS~2\Office14\ONBttnIE.dll/105

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://L:\ARCHIV~1\MICROS~2\Office14\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - L:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - L:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - L:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra 'Tools' menuitem: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - L:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - L:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - L:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - L:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - L:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O16 - DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} (Creative Software AutoUpdate Support Package 2) - http://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab

O16 - DPF: {E705A591-DA3C-4228-B0D5-A356DBA42FBF} (Creative Software AutoUpdate 2) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/20015/CTSUEng.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/ocx/15118/CTPID.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - L:\Archivos de programa\AVG\AVG8\avgpp.dll

O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - L:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

O20 - Winlogon Notify: !SASWinLogon - L:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - L:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - L:\WINDOWS\system32\browseui.dll

O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - L:\Archivos de programa\SUPERAntiSpyware\SASCORE.EXE

O23 - Service: Adobe LM Service - Adobe Systems - L:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - L:\ARCHIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - L:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - L:\ARCHIV~1\AVG\AVG8\avgfws8.exe

O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - L:\Archivos de programa\Archivos comunes\Creative Labs Shared\Service\CTAELicensing.exe

O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - L:\Archivos de programa\Creative\Shared Files\CTAudSvc.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - L:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - L:\WINDOWS\system32\services.exe

O23 - Service: Servicio de Google Update (gupdate) (gupdate) - Unknown owner - L:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Unknown owner - L:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - L:\Archivos de programa\Canon\IJPLM\IJPLMSVC.EXE

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - L:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - L:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: MBAMService - Malwarebytes Corporation - L:\Archivos de programa\Malwarebytes Anti-Malware\mbamservice.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - L:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - L:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - L:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - L:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - L:\WINDOWS\system32\sessmgr.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - L:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - L:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - L:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - L:\Archivos de programa\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - L:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - L:\Archivos de programa\Windows Media Player\WMPNetwk.exe



--

End of file - 12590 bytes

[msc hotline sat]

Pues podría eliminar estas dos claves sospechosas:



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.ldc.mx/



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4



y definir otra pagina de inicio desde IE -> HErramientas -> OPciones de Internet





Aparte puede ir mas allá con el ELITARA:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado

del proceso [/quote]



Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder

con el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 30-12-2011