Ayuda! Troyan-spy....(Cerrado)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
manunava
Mensajes: 10
Registrado: 19 May 2005, 23:08

Ayuda! Troyan-spy....(Cerrado)

Mensaje por manunava » 19 May 2005, 23:16

Hola, soy nuevo en el foro y necesito vuestra ayuda para eliminar el troyano que tengo. Por lo que he indagado, creo que tengo el Smitfraud. Ya he intentado eliminarlo con informacion d otros mensajes y siguiendo los pasos generales que se daban (pasar el killbox, etc...), pero aún no he conseguido eliminarlo del todo por lo que solicito vuestra ayuda. Ruego me expliqueis lo que tengo que hacer paso a paso, pues no soy muy entendido en la materia. Aqui os dejo mi log. Un saludo y Gracias por adenlantado, haceis un trabajo fantastico.



Logfile of HijackThis v1.99.1

Scan saved at 1:10:12, on 19/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\CTsvcCDA.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\Archivos de programa\Softwin\BitDefender8\vsserv.exe

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\CTHELPER.EXE

C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

C:\Archivos de programa\Softwin\BitDefender8\bdoesrv.exe

C:\ARCHIV~1\Softwin\BITDEF~1\bdnagent.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\Documents and Settings\Manuel\Mis documentos\Programas Bajados de la red\Cacheman 5.11\CacheMan en Castellano\Cacheman.exe

C:\Archivos de programa\Palm\HOTSYNC.EXE

C:\WINDOWS\System32\intmon.exe

C:\WINDOWS\System32\shnlog.exe

C:\WINDOWS\System32\wuauclt.exe

C:\ARCHIV~1\Softwin\BITDEF~1\bdnews.exe

C:\Documents and Settings\Manuel\Escritorio\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\sp.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Manuel\CONFIG~1\Temp\se.dll/spage.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - (no file)

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp4EC.tmp

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar1.dll

O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [BDMCon] C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDOESRV] C:\Archivos de programa\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [BDNewsAgent] C:\ARCHIV~1\Softwin\BITDEF~1\bdnagent.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKCU\..\Run: [Cacheman] C:\Documents and Settings\Manuel\Mis documentos\Programas Bajados de la red\Cacheman 5.11\CacheMan en Castellano\Cacheman.exe

O4 - HKCU\..\RunServices: [Ms Configuration] microsoftsa32.exe

O4 - Startup: hotsync manager.lnk = C:\Archivos de programa\Palm\HOTSYNC.EXE

O8 - Extra context menu item: &Google Search - res://c:\windows\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\windows\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\windows\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\windows\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra button: Microsoft AntiSpyware helper - {CA840F66-5603-4B5D-82B6-8054AA1B0C89} - C:\WINDOWS\System32\wldr.dll (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {CA840F66-5603-4B5D-82B6-8054AA1B0C89} - C:\WINDOWS\System32\wldr.dll (HKCU)

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\sp.htm

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://search-search.net/ws2.chm::/w.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c24.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099310243515

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender8\vsserv.exe

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe
Arriba
Avatar de Usuario
flacoroo
Mensajes: 6289
Registrado: 09 Mar 2004, 20:32
Ubicación: Paso del Macho,Ver.México

Mensaje por flacoroo » 20 May 2005, 02:39

bajate esta herramienta



http://www.zonavirus.com/descargas/elistara.asp



pones tu computadora en modo seguro, borras tus archivos temporales tanto de internet como los de la computadora (comando para hacerlo en: inicio-->jecutar---> %TEMP% ) y pasas despues la herramientas que bajastes y la corres y te eliminara el troyano....nos dices como te fue....
:lol: :lol: La vida es hermosa....para que complicarnosla :lol: :lol:
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 20 May 2005, 11:03

Se mueve este Tema al apratado de HiJackThis, donde le corresponde.



En el log aparecen muchas entradas posiblemente viricas que deben seleccionarse y eliminarse con FIC:



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\sp.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Manuel\CONFIG~1\Temp\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - (no file)

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp4EC.tmp

O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://search-search.net/ws2.chm::/w.exe

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c24.cab





Aparte hay muchas sospechosas que solo se debe proceder con ellas si no se conoce que se hayan querido instalar, pero ellas las trataremos tras eeste primer paso y ver si se ha resuelto el problema o persiste, tras lo cual si es el caso, podrá postearnos el HJT resultante, como respuesta de este Tema, gracias.



Y sobre todo, antes de nada leer los tres primeros Temas de este apartado, que son prioritarios.



saludos



ms, 20-05-2005
Última edición por msc hotline sat el 20 May 2005, 19:55, editado 1 vez en total.
Arriba
manunava
Mensajes: 10
Registrado: 19 May 2005, 23:08

Mensaje por manunava » 20 May 2005, 19:30

Gracias por atenderme. Como me habia equivocado en colocar este tema en otro foro he lanzado un nuevo tema con el mismo Asunto que es el que actualmente sigo. Os he mandado mi actual log (al otro asunto) para que me digais lo que tengo que hacer.

Un saludo
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 20 May 2005, 20:03

Si, pero me parece que no sigues las normas:



https://foros.zonavirus.com/viewtopic.php?t=5148



No debes postear logs de HJT sin haber eliminado lo detectado por antivirus y antispywares siguiendo intrucciones de nuestros tutoriales, y especialmente en este caso no parece haberse limpiado con el ELISTARA.



De no seguir las Normas, aplicaremos medidas contigo.



saludos



ms, 20-05-2005
Arriba
manunava
Mensajes: 10
Registrado: 19 May 2005, 23:08

Mensaje por manunava » 21 May 2005, 01:11

Este asunto proviene del foro de spyware y he abierto otro al respecto en el foro de HIjack this.

un saludo
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 21 May 2005, 07:22

En consecuencia se cierra este Tema, para no tener dos Temas paralelos



sigue en:



https://foros.zonavirus.com/viewtopic.php?p=31559#31559



saludos



ms, 21-05-2005
Arriba
Cerrado

Volver a “Foro HijackThis - copia y pega tu log”