ads1.revenue.net

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
albhorvid
Mensajes: 1
Registrado: 11 Jun 2005, 22:48

ads1.revenue.net

Mensaje por albhorvid » 11 Jun 2005, 22:54

He intentado eliminar ads1.revenue.net probando con spyboty ad-aware actualizados y en modo seguro y desactivando restaurar sistema pero me ha sido completamente imposible. Siempre vuelve a aparecer.

Dejo aqui mi log por si alguien puede ayudarme



Logfile of HijackThis v1.99.1

Scan saved at 22:46:47, on 11/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

c:\archivos de programa\internet explorer\iexplore.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe

C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\LightSurf\Common\IconMgr.exe

C:\Archivos de programa\VIA\RAID\raid_tool.exe

C:\Archivos de programa\LightSurf\Colorific\hgcctl95.exe

C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe

C:\Archivos de programa\LightSurf\Color Indicator\TICIcon.exe

C:\Archivos de programa\internet explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Alberto\CONFIG~1\Temp\Rar$EX22.468\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe

F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe

F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [RemoteControl] C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [mshost] C:\WINDOWS\mshost.exe

O4 - HKLM\..\Run: [I download pirated Software] C:\WINDOWS\system32\_.gof

O4 - HKLM\..\Run: [krkj] C:\WINDOWS\krkj.exe

O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe

O4 - HKLM\..\Run: [glazajqn] C:\WINDOWS\glazajqn.exe

O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitenrz32.exe

O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe

O4 - HKLM\..\RunOnce: [*mshost] C:\WINDOWS\mshost.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [mshost] C:\WINDOWS\mshost.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart

O4 - HKCU\..\RunOnce: [*mshost] C:\WINDOWS\mshost.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: LightSurf.lnk = C:\Archivos de programa\LightSurf\Common\IconMgr.exe

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Firewall de Windows/Conexión compartida a Internet (ICS) (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe



Gracias
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 12 Jun 2005, 05:06

De entrada no conviene eliminar ninguna clave ni fichero que aparezca en el HJT sin antes haber eliminado todos los virus y troyanos que puedan detectar las utilidades convencionales, pues puede haber muchas mas claves modificadas no visibles con el HJT, las cuales no serían facilmente eliminables si se borraran los ficheros o claves correspondientes, visibles en el loh expuesto



Y esto viene por la presencia del fichero y carga en claves del SCVHOST.EXE (no confuncirlo con el SVCHOST.EXE en la misma carpeta, que ese sí que es de sistema, mientras el otro es cualquiera de estos 5 gusanos:



http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=scvhost%2Eexe&alt=scvhost%2Eexe&Sect=SA



Arranque en modo seguro, deshabilite la restauracion de sistema y lance si antivirus y elimine lo que detecte, y luego, si persiste el problema, posteenos nuevo log, pues aparte hay cosas sospechosas que debería ver si las conoce o no, para obrar en consecuencia



Aparte, la url en cuestion le puede venir provocada por otro troyano, y es posible que lo detecte en el mismo escaneo y solucione el problema:


[quote="TREND"]


TROJ_QLOGIC.A



Overview Solution Technical Details Statistics



File type: PE



Memory resident: Yes



Size of malware: 32,256 Bytes



Initial samples received on: Apr 4, 2005



Compression type: UPX





Details:



Arrival and Installation



This Trojan may be downloaded from Internet by unsuspecting users. It drops a copy



Upon execution, it drops files with random filenames such as the following:



%System%\COCBQBX.EXE

%System%\NANAQ.DLL

%System%\PGPTBTE.DLL

%System%\QVQPY.DAT

%System%\RNRVLV.EXE

%Windows%\AKAJV.DLL

%Windows%\Start Menu\Programs\Startup\DTDN.EXE

(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 95, 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP. %Windows% is the Windows folder, which is usually C:\Windows or C:\WINNT.)



This Trojan also installs itself as a BHO (browser helper object) by adding registry keys and entries with random CLSIDs. As a result, it is able to download files from the Internet.



Autostart



This Trojan creates the following autostart entry to ensure its automatic execution at every system startup:



HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows\CurrentVersion\Run

<Random> = ”%System%\<Random>”



It also drops a copy of itself, with a random file name, in the Windows startup folder to ensure its autostart execution.



(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 95, 98, and ME, C:\WINNT\System32 on Windows NT and 2000, or C:\Windows\System32 on Windows XP.)



Downloader



Upon execution, this Trojan verifies Internet connection before finally connecting to different URLs, where it downloads certain files.



The said sites are as follows:



<spoofed>ad.doubleclick.net

<spoofed>ad.trafficmp.com

<spoofed>adfarm.mediaplex.com

<spoofed>ads.addynamix.com

<spoofed>ads.bidclix.com

<spoofed>ads.clickagents.com

<spoofed>ads.delfinproject.com

<spoofed>ads1.revenue.net

<spoofed>adserv.internetfuel.com

<spoofed>advert.runescape.com

<spoofed>aim-charts.pf.aol.com

<spoofed>akapp.whenu.com

<spoofed>allaboutsearching.com

<spoofed>amch.questionmarket.com

<spoofed>ar.atwola.com

<spoofed>as.adwave.com

<spoofed>as.casalemedia.com

<spoofed>ayb.lop.com

<spoofed>bannerfarm.ace.advertising.com

<spoofed>banners.pennyweb.com

<spoofed>bannerserver.gator.com

<spoofed>by.optimost.com

<spoofed>c.qckjmp.com

<spoofed>cdn-aimtoday.aol.com

<spoofed>cdn-cf.aol.com

<spoofed>cfg.mywebsearch.com

<spoofed>clickit.go2net.com

<spoofed>count.exitexchange.com

<spoofed>counters.honesty.com

<spoofed>ctl.twain-tech.com

<spoofed>delfinproject.com

<spoofed>download.abetterinternet.com

<spoofed>download.smileycentral.com

<spoofed>e.rn11.com

<spoofed>focusin.ads.targetnet.com

<spoofed>games.yahoo.com

<spoofed>hotmail.com

<spoofed>hotmail.msn.com

<spoofed>insider.msg.yahoo.com

<spoofed>jbns2.cydoor.com

<spoofed>jicmedia.cjt1.net

<spoofed>jmnad1.com

<spoofed>jnictech.cjt1.net

<spoofed>join1.winhundred.com

<spoofed>kill-pop-ups.com

<spoofed>license.hotbar.com

<spoofed>look2me.com

<spoofed>m2.doubleclick.net

<spoofed>m3.doubleclick.net

<spoofed>mail.yahoo.com

<spoofed>master.mx-targeting.com

<spoofed>media.fastclick.net

<spoofed>messenger.msn.com

<spoofed>mm.delfinproject.com

<spoofed>newupdates.lzio.com

<spoofed>odysseusmarketing.com

<spoofed>oz.valueclick.com

<spoofed>paypopup.com

<spoofed>pgq.yahoo.com

<spoofed>pops.browseraid.com

<spoofed>popuppers.com

<spoofed>popuptraffic.com

<spoofed>qksrv.net

<spoofed>radio.launch.yahoo.com

<spoofed>rightmedia.net

<spoofed>s.clkoptimizer.com

<spoofed>sandboxer.com

<spoofed>search200.com

<spoofed>searcheffect.com

<spoofed>servedby.adscpm.com

<spoofed>servedby.advertising.com

<spoofed>smileycentral.com

<spoofed>sr.adwave.com

<spoofed>sr.websearch.com

<spoofed>stopzilla.com

<spoofed>top-banners.com

<spoofed>topicks.com

<spoofed>tv.180solutions.com

<spoofed>u.ad-behavior.com

<spoofed>us.update.companion.yahoo.com

<spoofed>v4.windowsupdate.microsoft.com

<spoofed>view.atdmt.com

<spoofed>weatherbug.com

<spoofed>web.icq.com

<spoofed>webpdp.gator.com

<spoofed>windowsupdate.microsoft.com

<spoofed>wisapidata.weatherbug.com

<spoofed>ww2.weatherbug.com

<spoofed>www4.yesadvertising.com

<spoofed>xadso.offeroptimizer.com

<spoofed>xadsq.offeroptimizer.com

<spoofed>xlime.offeroptimizer.com

<spoofed>xzoomy.com

<spoofed>zone.msn.com

Platform



This Trojan runs on Windows 98, ME, NT, 2000, and XP.



Analysis By: Francis Saguiguit

Updated By: Francis Saguiguit


[/quote]


Pero tambien podría ser debido a este otro adware:



http://vil.nai.com/vil/content/v_132077.htm







saludos



ms, 12-06-2005
Arriba
Responder

Volver a “Foro HijackThis - copia y pega tu log”