Posible virus o espia o que???

[jerasimov]

Como les dije me sale al ejecutar el Antispy de microsoft y cuando ejecuto el Adware SE, el msj : Possible Browser Hijack Browser Modifier y también: WinTools (Troyan), con el Antispy de microsoft dice que lo borra, pero al iniciar la computadora nuevamente aparece. El Adware lo localizo y dice que lo eliminó, no le aparece mas, pero con el microsoft antispy aparece nuevamente.



Desabilité el System Restore Utility, reinicié el computador, pero me siguen saliendo estos mensajes.



Estos son virus, barras de herramientas que se ejecutan, spy´s o que ? Por favor me podrían ayudar a eliminarlos,,, gracias.

[maura63]

Segun tu sistema operativo comprueba lo que tienes en el archivo HOSTs



Windows NT/2000/XP Pro c:\winnt\system32\drivers\etc\hosts

Windows XP Home c:\windows\system32\drivers\etc\hosts



Prueba tambien esta utilidad



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





Saludos

maura63

[msc hotline sat]

Y si tras ello persiste la deteccion con el antispyware de microsoft, arranca en modo seguro y lanzalo y debería poder eliminarlo, claro que solo es una version beta y puede no tener todas las funciones, y la oficial no sale hasta el 30 de Julio, y claro, será de pago...



Envianos el fichero en cuestion a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, y te contestaremos como respuesta a este Tema, con el analisis al respecto y la utllidad de eliminacion que hagamos al respecto



saludos



ms, 29-06-2005

[jerasimov]

Envianos el fichero en cuestion a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, y te contestaremos como respuesta a este Tema, con el analisis al respecto y la utllidad de eliminacion que hagamos al respecto



saludos



Como ven hice lo que me pidieron, enviarles el archivo a zonavirus@satinfo.es, pero me contestaron que no tramitan consultas tecnica por ese medio, sino por este? Ademas me enviaron una codificacion que no se que hacer con ella y ni siguiera me dicen como debo procesarla??? se las adjunto .

en espera de su ayuda ??...



> <DIV>A continuación les envio el archivo que me solicitaron (creo es

este), para poder solucionar el problema del msg: WinTool (Troyan), que

no elimina los antispy de microsoft ni el Adware SE. Ni los antivirus..

en espera de su respuesta.. gracias...<IMG

src="http://us.i1.yimg.com/us.yimg.com/i/mesg/tsmileys2/01.gif"></DIV>

> <DIV>&nbsp;</DIV>

> <DIV><STRONG>Logfile of HijackThis v1.99.1<BR></STRONG>Scan saved at

06:31:17 p.m., on 06/29/2005<BR>Platform: Windows XP&nbsp; (WinNT

5.01.2600)<BR>MSIE: Internet Explorer v6.00 (6.00.2600.0000)</DIV>

> <DIV>Running

processes:<BR>C:\WINDOWS\System32\smss.exe<BR>C:\WINDOWS\SYSTEM32\winlogon.exe<BR>C:\WINDOWS\system32\services.exe<BR>C:\WINDOWS\system32\lsass.exe<BR>C:\WINDOWS\system32\svchost.exe<BR>C:\WINDOWS\System32\svchost.exe<BR>C:\Archivos

de programa\Ahead\InCD\InCDsrv.exe<BR>C:\Archivos de programa\Archivos

comunes\Symantec Shared\ccSetMgr.exe<BR>C:\Archivos de

programa\Archivos comunes\Symantec Shared\SNDSrvc.exe<BR>C:\Archivos de

programa\Archivos comunes\Symantec

Shared\SPBBC\SPBBCSvc.exe<BR>C:\Archivos de programa\Archivos com

unes\Symantec

Shared\ccEvtMgr.exe<BR>C:\WINDOWS\Explorer.EXE<BR>C:\WINDOWS\system32\spoolsv.exe<BR>C:\WINDOWS\System32\pctspk.exe<BR>C:\Archivos

de programa\Archivos

comunes\Real\Update_OB\realsched.exe<BR>C:\Archivos de programa\MSN

Apps\Updater\01.02.3000.1001\es\msnappau.exe<BR>C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe<BR>C:\Archivos de

programa\Microsoft AntiSpyware\gcasServ.exe<BR>C:\Archivos de

programa\Archivos comunes\Symantec

> Shared\ccApp.exe<BR>C:\Archivos de

programa\Winamp\winampa.exe<BR>C:\Archivos de programa\CyberLink DVD

Solution\PowerDVD\PDVDServ.exe<BR>C:\Archivos de

programa\Ahead\InCD\InCD.exe<BR>C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe<BR>C:\ARCHIV~1\mcafee.com\agent\mcagent.exe<BR>C:\Archivos

de programa\MSN

Messenger\msnmsgr.exe<BR>C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe<BR>C:\Archivos de programa\Microsoft

AntiSpyware\gcasDtServ.exe<BR>C:\Archivos de

programa\InterVideo\Common\Bin\WinCinemaMgr.exe<BR>C:\Archivos de

programa\Norton Ant

iVirus\navapsvc.exe<BR>C:\Archivos de programa\Norton

AntiVirus\IWP\NPFMntor.exe<BR>C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe<BR>C:\WINDOWS\System32\svchost.exe<BR>C:\Archivos

de programa\Archivos comunes\Symantec

Shared\CCPD-LC\symlcsvc.exe<BR>C:\WINDOWS\System32\wuauclt.exe<BR>C:\hjt\HijackThis.exe</DIV>

> <DIV>R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

<A

href="http://g.msn.es/0SEESES/SAOS01">http://g.msn.es/0SEESES/SAOS01</A><BR>R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar

= <A

href="http://g.msn.es/0SEESES/SAOS01">http://g.msn.es/0SEESES/SAOS01</A><BR>R0 -

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

res://C:\WINDOWS\System32\shdoclc.dll/dnserror.htm<BR>R0 - HKCU\Software\Microsoft\Internet

Explorer\Toolbar,LinksFolderName = Vínculos<BR>R3 - Default

URLSearchHook is missing<BR>F2 - R

EG:system.ini: UserInit=C:\WINDOWS\regedit /s

C:\pav.reg,C:\WINDOWS\System32\pavdr.exe,C:\WINDOWS\System32\userinit.exe,<BR>O2 - BHO:

AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de

programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx<BR>O2 - BHO:

NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de

programa\Norton AntiVirus\NavShExt.dll<BR>O3 - Toolbar: (no name) -

> {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)<BR>O3 - Toolbar:

&Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINDOWS\System32\msdxm.ocx<BR>O3 - Toolbar: Norton AntiVirus -

{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton

AntiVirus\NavShExt.dll<BR>O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe<BR>O4 - HKLM\..\Run:

[TkBellExe] "C:\Archivos de programa\Archivos

comunes\Real\Update_OB\realsched.exe"&nbsp; -osboot<BR>O4 - HKLM\..\Run: [msnappau] "C:\Archivos de

programa\MSN

Apps\Updater\01.02.3000.1001\es\msnap

pau.exe"<BR>O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de

programa\Java\jre1.5.0_02\bin\jusched.exe<BR>O4 - HKLM\..\Run: [gcasServ]

"C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"<BR>O4 -

HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec

Shared\ccApp.exe"<BR>O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de

programa\Winamp\winampa.exe<BR>O4 - HKLM\..\Run: [Symantec NetDriver Monitor]

> C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer<BR>O4 - HKLM\..\Run:

[RemoteControl] "C:\Archivos de programa\CyberLink DVD

Solution\PowerDVD\PDVDServ.exe"<BR>O4 - HKLM\..\Run: [InCD] C:\Archivos de

programa\Ahead\InCD\InCD.exe<BR>O4 - HKLM\..\Run: [NeroFilterCheck]

C:\WINDOWS\system32\NeroCheck.exe<BR>O4 - HKLM\..\Run: [MPFExe]

C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe<BR>O4 - HKLM\..\Run: [MCAgentExe]

c:\ARCHIV~1\mcafee.com\agent\mcagent.exe<BR>O4 - HKLM\..\Run: [MCUpdateExe]

C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe<BR>O4 - HKLM\..\Run: [

iexplore.exe] C:\Archivos de programa\Internet

Explorer\iexplore.exe<BR>O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN

Messenger\msnmsgr.exe" /background<BR>O4 - HKCU\..\Run: [Skype] "C:\Documents and

Settings\DESTROYER\Escritorio\Skype(1).exe" /nosplash /minimized<BR>O4 -

HKCU\..\Run: [PowerBar] "C:\Archivos de programa\CyberLink DVD

Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime<BR>O4 - Global Startup:

InterVideo WinCinema

> Manager.lnk = C:\Archivos de

programa\InterVideo\Common\Bin\WinCinemaMgr.exe<BR>O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de

programa\Microsoft Office\Office\OSA9.EXE<BR>O9 - Extra button: (no

name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de

programa\Java\jre1.5.0_02\bin\npjpi150_02.dll<BR>O9 - Extra 'Tools' menuitem:

Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos

de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll<BR>O9 - Extra button:

Referencia -

{92780B25-18CC-41C8-B9BE-3C9C571A82

63} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL<BR>O10 - Broken

Internet access because of LSP provider 'c:\archivos de

programa\newdotnet\newdotnet3_88.dll' missing<BR>O12 - Plugin for .spop: C:\Archivos de

programa\Internet Explorer\Plugins\NPDocBox.dll<BR>O16 - DPF:

{17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

<A

>

href="http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409">http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409</A><BR>O16

- DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating

System Class) - <A

href="http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab">http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab</A><BR>O16

- DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -

<A

href="http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab">h

ttp://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab</A><BR>O16 -

DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - <A

href="http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098664531203">http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098664531203</A><BR>O16

- DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer

Class) - <A

>

href="http://www.pandasoftware.com/activescan/as5/asinst.cab">http://www.pandasoftware.com/activescan/as5/asinst.cab</A><BR>O16 -

DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}

(MsnMessengerSetupDownloadControl Class) - <A

href="http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab">http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab</A><BR>O16

- DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) -

<A href="http://download.mcafee.com/molbin/shared/mcgdmgr/en-

us/1,0,0,23/mcgdmgr.cab">http://download.m

cafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab</A><BR>O16 -

DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - <A

href="http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4519/mcfscan.cab">http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4519/mcfscan.cab</A><BR>O23

- Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -

C:\Archivos de programa\Archivos

> comunes\Symantec Shared\ccEvtMgr.exe<BR>O23 - Service: Symantec

Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de

programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe<BR>O23 - Service:

Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos

de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe<BR>O23 -

Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de

programa\Ahead\InCD\InCDsrv.exe<BR>O23 - Service: McAfee SecurityCenter Update

Manager

(mcupdmgr.exe) - McAfee, Inc - C:\ARCHI

V~1\McAfee.com\Agent\mcupdmgr.exe<BR>O23 - Service: McAfee Personal

Firewall Service (MpfService) - McAfee Corporation -

C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe<BR>O23 - Service: Norton AntiVirus

Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de

programa\Norton AntiVirus\navapsvc.exe<BR>O23 - Service: Norton AntiVirus

Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de

programa\Norton

> AntiVirus\IWP\NPFMntor.exe<BR>O23 - Service: SAVScan - Symantec

Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe<BR>O23 -

Service: ScriptBlocking Service (SBService) - Symantec Corporation -

C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe<BR>O23 - Service:

Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation -

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe<BR>O23 -

Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation -

C:\Archivos de

programa\Archivos comunes\Symantec Shared\

SPBBC\SPBBCSvc.exe<BR>O23 - Service: Symantec Core LC - Symantec

Corporation - C:\Archivos de programa\Archivos comunes\Symantec

Shared\CCPD-LC\symlcsvc.exe</DIV>

> <DIV>&nbsp;</DIV><p>

> <hr size=1><br><font face="Verdana" size="-2">Correo

Yahoo!<br>Comprueba qué es nuevo, <a

href="http://us.rd.yahoo.com/mail/es/whatsnew/*http://es.whatsnew.mail.yahoo.com/">aquí</a><br>http://correo.yahoo.es</font>

> --0-737226572-1120088812=:18709--

[msc hotline sat]

Evidentemente entendiste mal el fichero a enviar.



En SATINFO es una ingenieria de seguridad informatica que da soporte a unos 150.000 asociados a sus servicios, que además tienen cpntratada licencia de uso de antivirus McAfee que han tramitado los distribuidores a través de SATINFO, como mayorista de McAfee en españa, con soluciones propias complementarias a los antivirus, de lo que se beneficia este foro por ser patrocinador de la web de zonavirus, y existir acuerdos de forma que puedan probarse algunas de sus utilidades en concepto de pruebas de evaluacion en este foro, además de ofrecer analisis de las muestras sospechosas detectadas o no por los antivirus, para la realizacion en su caso de utilidades de control y eliminacion de las mismas.



Pero las muestras han de ser de los ficheros sospechosos, no de logs del HJT que evidentemente se soportan a usuarios con contrato de asistencio tecnica de SATINFO, pero los que utiliceis este foro, el analisis de los logs se hacen en este foro, altruistamente.



Así que si quieres que sea analizada la muestra en cuestion, para debuguearla y monitorizar su comportamiento y poder desarrollar o implementar en alguna utilidad ya existente el control, detencion de proceso en memoria, restauracion de claves de registro modificadas por el virus, eliminacion del gusano y demás parámetros (linpieza de temporales de internet, bloqueos de port de intrusion, limpieza del HOSTS, eliminacion de la pagina de inicio, etc etc, segun sea el caso), envianos la muestra en cuestion, o sea, el fichero que la utilidad antivirus o antispyware o lo que sea, te haya detectado como sospechoso y quieres que sea analizada, a zonavirus@satinfo.es y se procederá en consecuencia.



saludos



ms, 1-07-2005