Virus / Troyano / ??

kernel · Mensaje por **kernel** » 01 Jul 2005, 01:49

pues vereis me acabo de bajar un programita de 1'7 MB del Emule con bastantes fuentes (87) que en teoria era para decodificar MPEG-4, para el Nero...

era un exe, lo ejecuto y pim pam, se instala (han salido algunas vantanitas en MS-DOS que les he hecho una captura para ver q ponian y ponian algo haciendo referencia al registro creo, porque ponia algo parecido a esto {C47853-873-CJD-853-}).

Bueno el porgrama funciona bien, porque ahora puedo decodificar mp4... lo unico que no me ha gustado es que me ha cambiado la pagina de inicio del Explorer.:0036

Le habia pasado el Kaspersky y luego he pasado el Search&Destroy y nada, el PC esta limpio... pero no me ha molado na que me cambiara la pagina de inicio (por cierto, la pagina que me ponia era http://users.iptelecom.net.ua). Ahora por lo demas el PC va bien pero no me gustaria tener un bonito troyano por el PC.

nose...que opinais?

graciasss

Mensaje por **flacoroo** » 01 Jul 2005, 07:52

bajate esta herramienta, limpias tu computadora de archivos temporales y del IE....

http://www.zonavirus.com/descargas/elistara.asp

nos dices como te fue....

Solo una aclaracion ...todos los programas P2P traen consigo muchos regalitos a la hora de descargarse algo....

kernel · Mensaje por **kernel** » 01 Jul 2005, 13:36

por cierto le he pasado el HijackThis y no tiene nada raro creo yo... mirad:

Logfile of HijackThis v1.99.1

Scan saved at 13:36:22, on 01/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\Archivos de programa\Kaspersky Anti-Virus Personal Pro\avpm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe

C:\Archivos de programa\GetRight\getright.exe

C:\Archivos de programa\GetRight\getright.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\devldr32.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\DOCUME~1\Ernest\CONFIG~1\Temp\Rar$EX00.219\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Archivos de programa\GetRight\xx2gr.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Archivos de programa\Kaspersky Anti-Virus Personal Pro\ogrc.exe"

O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\CloneCD\CloneCDTray.exe" /s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Consola KIT ADSL.lnk = C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe

O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{EE4FBD84-3CDD-447E-A282-860D06530E33}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Archivos de programa\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Archivos de programa\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Mensaje por **maura63** » 01 Jul 2005, 13:46

Estos dos no llaman a nada, elimina

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Archivos de programa\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)

023 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Archivos de programa\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)

Saludos

maura63

kernel · Mensaje por **kernel** » 01 Jul 2005, 14:02

oks

entonces si en el HijackThis no se ve nada sospechoso, es seguro q el PC esta limpio?

salu2

Mensaje por **maura63** » 01 Jul 2005, 14:14

Hay troyanos que con nuevas tacticas de encubrimiento pueden no aparecer en el log de hijacthis.

Partimos de la base que si tras pasar antivirus, antispywares no detectan nada es de suponer que no los hay.

Pero cada dia aparecen nuevos bichejos.

Estamos limpios :?: :?: eso nunca lo sabremos pero tampoco hay que perder la cabeza pensando en que tenemos algo dentro.

Y para ello poner todas las barreras posibles para que por lo menos les cueste mas trabajo colarse.

Por eso activa el firewall de windows o instala uno.

Saludos

maura63

Mensaje por **msc hotline sat** » 03 Jul 2005, 11:58

Y de otro foro en el que analizaban un HJT que contenía una clave que existe en el suyo, indican de lo que se trata y que mejor eliminarla:

[quote]O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

(Description: Adjusts monitor colours across all programs, including Photoshop. It is needed by some graphics professionals who want their monitor calibrated. Most home users will not need it, and thus should remove this entry. )
[/quote]

Para lo que te pueda servir ...

saludos

ms, 3-07-2005