De nuevo el sqwire (SOLUCIONADO)

muchamelena · Mensaje por **muchamelena** » 27 Jun 2005, 16:01

>Escaneé con ad-aware, limpio, spybot, limpio, antivirus Norman-limpio, ewido-limpio, the cleaner, limpio, y con Panda on line, me ha vuelto a dar infectado por adware sqwire en el registro.

Os pongo un log nuevo del HJT por si veis algo

Logfile of HijackThis v1.99.1

Scan saved at 15:57:52, on 27/06/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\ewido\security suite\ewidoguard.exe

C:\Norman\bin\ZLH.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Norman\bin\ZANDA.EXE

C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe

C:\Norman\bin\NJEEVES.EXE

C:\NORMAN\nvc\BIN\NVCSCHED.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\The Cleaner\tca.exe

C:\Archivos de programa\The Cleaner\tcm.exe

C:\WINDOWS\explorer.exe

C:\NORMAN\nvc\BIN\nvcoas.exe

C:\Norman\Nvc\bin\cclaw.exe

D:\fires de modma\P2PFire_1.2_FINAL_RELEASE\P2PFire.exe

E:\brip enero 2005\BRIp004\BRIp.exe

C:\Documents and Settings\JOSE\Mis documentos\hijackthis_199\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe

O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe /waitservice

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Ajuste del explorador - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093860170789

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE

O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE

O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\nvc\BIN\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe

Espero nuevamente vuestra ayuda y que me digais si esto puede ser un falso positivo pues pasé la nueva herramienta de Elistarpage v9.5 y no me saca nada (limpio). Gracias.

Mensaje por **maura63** » 27 Jun 2005, 16:12

Lo unico que desconozco son estas

D:\fires de modma\P2PFire_1.2_FINAL_RELEASE\P2PFire.exe

E:\brip enero 2005\BRIp004\BRIp.exe

Como dices utilizarlas comprueba si P2PFire_1.2_FINAL_RELEASE es realmente la version definitiva por su fuese falso positivo.

Saludos

maura63

muchamelena · Mensaje por **muchamelena** » 27 Jun 2005, 16:16

p2pfire y Brip son dos programas ejecutablespara bloquear IPS espias en descargas p2p, puedeser que sea eso el falso positivo, pues vosotros en el log no veis nada y con la nueva herramienta de slistarpage V9.5 no me detecta nada, cuando pueda con esos programas cerrados volveré a hacer un scan on line con Panda a ver que me detecta y os comento.Si en lo que os pongo veis algo, porfa decidmelo. Gracias.

Mensaje por **maura63** » 27 Jun 2005, 16:20

No se ve nada mas.

Comprueba que no exista otra version del P2PFire.

Saludos

maura63

muchamelena · Mensaje por **muchamelena** » 27 Jun 2005, 16:29

Hedesconectado el P2Pfire y el brip y he vuelto a escanear con Panda on line y me da lo mismo adwaresqwire en el registro.

Imagino que soloafecta a Internet explorer, porque yo uso opera o tambien afecta a opera, aunque creo más bien que puediera ser un falso positivo por algun motivo.

Mensaje por **msc hotline sat** » 27 Jun 2005, 16:33

Ya tienes la experiencia y conocimientos de tu anterior Tema al respecto. Lanza el ELISTARA 9.5

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

y comprueba que se haya eliminado, o procede paso a paso como en el Tema indicado:

https://foros.zonavirus.com/viewtopic.php?t=7350&highlight=sqwire

SE HAN RECIBIDO OTRAS MUESTRAS DE ZONAVIRUS, PERO LAS TUYAS NO. SI PUEDES, REPITE EL ENVIO, pero envialo mejor a esta direccion: zonavirus@satinfo.es gracias ms.

saludos

ms, 27.-06-2005

PD Y recuerda que los spywares/adwares infectan al visitar viertas páginas web, y que por mas que los limpies, si visitas las mismas paginas, volveras a infectarte, así que mira donde has entrado desde que lo eliminaste...

ms.

muchamelena · Mensaje por **muchamelena** » 27 Jun 2005, 17:15

Analizado con la herramienta elistartpage V9.5 y no detectó nada, cuando tenga tiempo volveré a hecer todo lo del anterior post y ya os ocmentaré si antes teneis una soluciónespero respuesta y quiero que me digais si afecta a opera como navegador pues yo no uso Internet explorer. Gracias.

muchamelena · Mensaje por **muchamelena** » 27 Jun 2005, 17:30

Una pregunta que no recuerdo de la otra vez, depues de arrancar enmodo a prueba de fallos como administrador con opciones de red y efectuar todos los escaneos, comotengo que reiniciar despues, antes de reiniciar tengo que desabilitar cuando estoy como administrador la opción de restaurar sistema', Después reinicio en mi cuenta normal¿es así? Gracias.

Mensaje por **msc hotline sat** » 27 Jun 2005, 17:31

Normalmente todos los virus están pensados para el I.E., que es el que usa la mayoría, y todas las descripciones de este adware lo relacionan con el I.E., pero se ignora si alguna de ellas pueda afectar al Opera.

Te incluyo link del sqwire de un tercer antivirus (ya te puse el de Panda y el de Symantec, y por si te sirve. ahora el de TREND:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FSQUIRE%2EB&VSect=T

saludos

ms, 27-06-2005

muchamelena · Mensaje por **muchamelena** » 27 Jun 2005, 20:43

Hola compañeros tanto las entradas que pone simantec, como Panda, como las que ponen en trend micro que usa el sqwire las he buscado todas en mi registro y no aparecen ninguna pero he realizado un scan anti spyware desde trend micro y me detecto esto que os pongo en estas dos capturas PERO DE SQWIRE NADA DE NADA, Por lo tanto pienso que tanto escaneo con tantos programas y tantos escaneos con antivirus y anti-spywares y ninguno detectonada y en los log que os pego con el HJT tampoco nada de nada creo que mas bien será algun falso positivo de Panda ¿o no?

[url=http://www.jotapeges.com/show.php?i=201561]

[img]http://www.jotapeges.com/thumbs/imgs/1/200506/27/Dibujo_1_edited.jpg[/img][/url]

y esta otra pantalla

[url=http://www.jotapeges.com/show.php?i=201562]

[img]http://www.jotapeges.com/thumbs/imgs/1/200506/27/Dibujo_2_edited.jpg[/img][/url]

Quiero deciros que uso la mula para descargas y que creo que estas entradas pueden ser de la mula y no se que hacer con ellas, alguno puede decirme que hago?

Mensaje por **msc hotline sat** » 28 Jun 2005, 07:28

Todo es posible, pero tambien cabe que detecte algun resto de alguna clave en la que haya una marca inocua para conocimiento del hacker de que esta máquina ya ha pasado por sus manos, marcas que sin alterar el comportamiento pueden ser detectadas si las conoces (como el hacker) sin otra importancia.

Sería mas elegante dejarlo sin esta detecion, pero vete a saber lo que detecta Panda al respecto. Como viste su informacion es mínima, y del que da mas informacion que en este caso es Symantec, con el ELISTARA actual eliminamos todas las claves que le afectan

Si por algun lado te enteras de algo mas, dinoslo y lo aplocaremos si viene al caso.

saludos

ms, 28-06-2005

muchamelena · Mensaje por **muchamelena** » 28 Jun 2005, 15:35

Hola compis espero respuestas sobre que debo hacer con lo que os he puesto en mi anterior post sobre las capturas de lo que me sale al escanear con el tred micro. Gracias, pues no se que significa lo que quiere decirme, comentaros que uso la mula por si tiene algo que ver. Gracias de nuevo.

Mensaje por **msc hotline sat** » 28 Jun 2005, 17:15

No creo que haya de hacer nada, a no ser que decida eliminar el edonkey, emule, o el sistema P2P que tiene instalado, que entiendo que es lo que le avisa TREND, dado el riesgo de infeccion que ello implica.

Recuerde los problemas que recientemente hemos tenido con el NOPIR-4, que llega a través de P2P

https://foros.zonavirus.com/viewtopic.php?t=7381

Pero es su decision.

Y como que el asunto del SQWIRE origen de este tema ha quedado aclarado, y lo reportado por TREND se entiende como aviso de existencia de claves de programas P2P, de libre criterio por parte de cada usuario, consideramos solucionado este Tema y procedemos a cerrarlo

saludos

ms, 28-06-2005