CRITICAL WARNING (CERRADO)

[lechoncete]

Ese tambien lo pasé, se me olvido decirlo

[maura63]

Bajar :

http://www.hijackthis.de/downloads/hijackthis_199.zip



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.





Saludos

maura63

[lechoncete]

Ok.Me pongo a bajar el programa.

Pero una cosa no entiendo, q me pedira archivo y ubicacion de que?? del archivo infectado??

El problema es que en el scan de panda me pone q es un ad-aware SAVE NOW y que esta en registro de windows.

No se si el fichero se llama SAVE NOW y tampoco se donde esta registro de windows.

GRACIAS

[maura63]

Cuando ejecutes hijackthis se abrira un bloc de notas com muchos datos, copia el contenido y lo pegas aqui.



No hagas nada mas.



Saludos

maura63

[lechoncete]

Logfile of HijackThis v1.99.1

Scan saved at 13:54:29, on 05/07/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\System32\00THotkey.exe

C:\WINDOWS\System32\TPWRTRAY.EXE

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\Archivos de programa\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\WINDOWS\System32\TFNF5.exe

C:\Archivos de programa\Apoint2K\Apoint.exe

C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Archivos de programa\Drag'n Drop CD\BinFiles\DragDrop.exe

C:\EPOAgent\naimag32.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\EPOAgent\naimas32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hposol08.exe

C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Apoint2K\Apntex.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\Hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {F859F983-0D9A-4A43-B6DF-A66900B413AD} - C:\WINDOWS\System32\mofpiaa.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1601.0\es\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20

O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Archivos de programa\TOSHIBA\Wireless Hotkey\TosHKCW.exe"

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [TouchED] C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Archivos de programa\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NaimAgent_UI] C:\EPOAgent\naimag32.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\RunServices: [TrojanShield Protector] C:\Archivos de programa\TrojanShield\Port.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: officejet 6100.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120318034613

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4524/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4100BB11-016E-4F08-8068-7AB282ADBCAA}: NameServer = 195.235.113.3 195.235.96.90

O17 - HKLM\System\CS1\Services\Tcpip\..\{4100BB11-016E-4F08-8068-7AB282ADBCAA}: NameServer = 195.235.113.3 195.235.96.90

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: NAI ePolicy Orchestrator Agent (NAIMAGENT32) - Network Associates, Inc. - C:\EPOAgent\naimas32.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

[maura63]

Arranca en modo seguro lanza hijackthis, pulsa scan marcas estas entradas y pulsa FIX. Acepta.





O2 - BHO: (no name) - {F859F983-0D9A-4A43-B6DF-A66900B413AD} - C:\WINDOWS\System32\mofpiaa.dll (file missing) -



O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll -

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe -



En modo normal comprueba el resultado.



Conecta via windows update y actualiza.



Saludos

maura63

[msc hotline sat]

Lanza de nuevo el HJT, marca con doble click la siguiente clave y eliminala con FIX:



O2 - BHO: (no name) - {F859F983-0D9A-4A43-B6DF-A66900B413AD} - C:\WINDOWS\System32\mofpiaa.dll (file missing)





Hay otras desconocidas que analizariamos so viniera al caso



saludos



ms, 5-07-2005

[maura63]

Si no has eliminado ya pasa antes este programa



Trend Micro™ CWShredder™ Version 2.15 Mayo 2005



Descarga



http://www.trendmicro.com/ftp/products/online-tools/cwshredder.exe





Saludos

maura63

[msc hotline sat]

Efectivamente, al analizar la clave en cuestion sobre _



regsvr32 /u /s image.dll



he encontrado estis datos:



Filename: regsvr32 /u /s image.dll

Description: CoolWebSearch parasite related

File Location: Unknown

Startup Type: Currently being identified



Lo cual podrá ser correctamente eliminada con el CWSHREDDER, si bien es reciomendable hacerlo arrancando en modo seguro y deshabilitando la restauracion de sistema si se trata de XP



La otra clave indicada por maura63 del wininstaller, solo me consta como troyano, el SpySheriff que se copia como WINSTALL.EXE, y en tal caso sería procedente su eliminacion.



Y tras ello, reinice y cuentenos sus progresos, gracias



saludos



ms, 5-07-2005

[lechoncete]

Hemos llegado a un punto que me esta sonando todo a chino, asi que disculpad mis preguntas basicas.

Me descargue el CWShredder, pero al ejecutarlo me dan varias opciones Scan, Update, Save report o Fix. Cual debo hacer?? Debo actualizar con update primero o no??

Marco la casilla de move cws files to recycle Bin?

GRACIAS

Otra tonteria, dp de descargarme actualizaciones de microsoft en el navegador abajo a la derecha me sale un logotipo de que me esta actualizando, como lo quito?? o lo dejo asi??

[maura63]

Lanza el programa y pulsa en FIX.



Despues buscas las claves que te hemos comentado y de seguir existiendo elimina como te dejimos.



Cuentanos el resultado.



Saludos

maura63

[lechoncete]

Borre los ficheros que me dijo maura63 con el hijackthis. Se guardaron en una carpeta backups.

Pase Panda y sigo con el archivo infectado y fondo de escritorio bloqueado.

Ahora me sale un simbolo de microsoft en el navegador abajo a la derecha que dice que esta actualizando pero no avanza, esta a 0%. Como lo quito??

GRACIAS

[msc hotline sat]

Si el Panda te detecta un fichero infectado tras haber pasado el ELISTARA, envianoslo pues puede tratarse de otra variante, y con ello pasaremos a controlarla



El envio de la muestra hazlo anexandola a un mail que nos envies a zonavirus@satinfo.es en cuyo texto pongas REF LECHONCETE/WARNING , desactivando el antivirus para ello, y procederemos a implementar su eliminacion en el ELISTARA



Y si tienes problemas con el arranque, arranca aunque sea en modo seguro y labza un HJT y compararemos las claves de registro para ver si se ha borrado alguna de improcedente, y la restableceríamos



saludos



ms, 6-07-2005

[lechoncete]

El fichero que detecta Scan de Panda no se donde esta porque me pone que es adaware SaveNow y no pone la ubicacion, solo registro de windows.

Que es lo que tengo que mandar y como??

Ah, ya pase Elistara y todo igual.

Paso otra vez HiJack y lo mando??

GRACIAS

[msc hotline sat]

Entonces no es un fichero sino algun resto de alguna clave, que ya se ha detectado otras veces en otros Temas y no aparece el el log del HJT, pero puedes postearlo, y no analizaremos, por si hubiera algo mas.



No sabemos lo que detecta Panda ante tal alarma, puede ser una clave inocua, una marca, etc, pero nos gustaría conocerla para poder eliminarla, aunque no afecte necesariamente, solo afee el informe del escaneo.





Diganos al mismo tiempo si tiene algun problema actualmente en el ordenador, y veamos el actual log del HJT.



Aparte, recuerdo que tenías un problema a raiz de haber borrado algunas claves, aunque ya no sea por presencia de claves como detecta el Panda, sino mas bien por haber eliminado alguna de mas.



Con el HJT que nos envie, compararemos con el que envió en su día y veremos las claves que ha eliminado, posiblemente alguna de mas, aunque no todas como detecta en el registro Panda, pero adivine cual, que no tiene porqué estar en el log del HJT, claro.





saludos



ms, 6-07-2005

[lechoncete]

Logfile of HijackThis v1.99.1

Scan saved at 11:47:06, on 06/07/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\EPOAgent\naimas32.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\00THotkey.exe

C:\WINDOWS\System32\TPWRTRAY.EXE

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\Archivos de programa\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\WINDOWS\System32\TFNF5.exe

C:\Archivos de programa\Apoint2K\Apoint.exe

C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Archivos de programa\Drag'n Drop CD\BinFiles\DragDrop.exe

C:\EPOAgent\naimag32.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hposol08.exe

C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\Apoint2K\Apntex.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Hijackthis\HijackThis.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqfru07.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1601.0\es\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20

O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Archivos de programa\TOSHIBA\Wireless Hotkey\TosHKCW.exe"

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [TouchED] C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Archivos de programa\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NaimAgent_UI] C:\EPOAgent\naimag32.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\RunServices: [TrojanShield Protector] C:\Archivos de programa\TrojanShield\Port.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: officejet 6100.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120318034613

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4524/mcfscan.cab

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: NAI ePolicy Orchestrator Agent (NAIMAGENT32) - Network Associates, Inc. - C:\EPOAgent\naimas32.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe



Y otra cosa, borre los 3 ficheros que me dijo maura. Estan en backups. Los borro??

Otra cosa lo de la actualizacion de windows abajo derecha, ahora esta en 2%, supongo que me afectará a la rapidez en internet ya q no tengo adsl. Como puedo quitarlo?? o es preferible que lo deje??

El ordenador por lo demas va bien excepto el problema tan comentado del bloqueo del fondo de pantalla.

GRACIAS

[msc hotline sat]

No. no borres el backup todavía, hasta que todo vata con normalidad.



Creo que el problema no es visible en el HJT, pero prueba de eliminar estas 4 claves, que son presindibles y pueden esconder otras intenciones:





O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize



O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE



O4 - Global Startup: hp psc 2000 Series.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe



O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE



Y por otro lado, acabamos de subir a esta wqeb la version 10.00 del ELISTARA, con mas controles correspondientes a mas variantes. Descargalo y Lanzalo, y nos informas de los resultados



saludos



ms, 6-07-2005

[msc hotline sat]

Seguimos esperando los ficheros que le pedimos, pues son claves para la solucion de su problema:



Mire si los puede conseguir, sin que estén a 0 Kb, y nos los envia, con lo que haremos la correspondiete herramienta de eliminacion total de procesos, claves y ficheros gusano .



SOn los correspondientes a :


[quote]Adware:Adware/SaveNow No desinfectado Registro de Windows

Spyware:Spyware/Dyfuca No desinfectado C:\WINDOWS\nem???.dll

Adware:Adware/Startpage.ID No desinfectado C:\WINDOWS\nem216.dll

Adware:Adware/SuperSpider No desinfectado C:\m.exe

Adware:Adware/SpySheriff No desinfectado Registro de Windows

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\system32\msxslab.dll
[/quote]

entre otros que tenía de estas mismas familias



saludos



ms, 6-07-2005[/quote]

[lechoncete]

Los ficheros estaban todos a 0kb incluso los que me quedaban en las carpetas de windows no eliminados. Lo comenté y me dijisteis que ya no servian y los elimine. lo intente de todas las maneras.

borre los 3 ficheros que me dijeron ahora y todo sigue igual.

Que hago ahora?? mando otro log de HiJack??

GRACIAS

[maura63]

Descarga este programa



http://www.ewido.net/en/download/



Viene tambien es español.



No lo he utilizado nunca pero se recomienda en muchos foros.



Saludos

maura63

[lechoncete]

Me lo estoy bajando. Que es lo que debo hacer con este programa?

Perdon por pesado pero que debo hacer con la actualizacion de windows que me sale en la parte de abajo a la derecha en el navegador?? avanza mu lentamente( si es que lo hace) y va por el 3%.

GRACIAS

[msc hotline sat]

Lamentablemente sin los ficheros de marras no podemos saber las claves que modificaron...



Con el ewido que te indica maura63, podrás ver si te detecta algo mas... Pero es un programa de pago, del que la version de pruebas que te podrás bajar está limitada y poco puede hacer, pero por probar nada se pierde.



saludos



ms, 6-07-2005

[lechoncete]

Pase el ewido y no detectó nada. Aunque me da la impresion de que ese archivo infectado en registro de windows no tiene mucho peligro.

Lo que si me interesaría seria lo de arreglar el bloqueo de fondo de escritorio.

Por lo que me comentais esto no es ya posible sin los archivos que tenian los virus.

Si reparo con el CD de instalacion valdria?? Borraria ficheros del disco duro??

GRACIAS

[msc hotline sat]

Reparando el XP no se pierde nada, solo los parches, que deben ser aplicados de nuevo al terminar, lanzando el windowsupdate, pero como que esto no toca registro de sistema sino solo sobreescribe ficheros de sistema, no creo que resuelvas el problema, salvo que hubieras borrado algun fichero que encontrara a faltar, pero el Warning es motivado por ficheros de mas llamados desde claves implementadas por troyanos de los que borró las muestras, y sin ellas hará falta que alguien reporte el mismo problema con muestras, para que se implemente su control en el ELISTARA i en las utilidades correspondientes, como hubiera podido ser con el ewido propuesto por maura63, o por cualquier otro antispyware que buscara, detectara y corrigieras dichas entradas en el registro de sistema.



Pruebe de arrancar con el CDROM de instalacion y tras aceptar contrato, cuando detecte la particion instaladam seleccione REPARAR y finalice con un windowsupdate, conforme indicado, y nos reporta los resultados, como respuesta de este Tema, gracias



saludos



ms, 7-07-2005

[lechoncete]

La ultima pasada del ewire me dio varios virus. Cosa rara porque scan de panda no detectaba.

Os lo mando en un zip y me decis,ok??

Respecto a lo de restaurar windows; tengo windows XP home edition y el CD de instalacion esta en ingles. No se q opciones serian . unas son de audio, video,...podria ser la de utilities??

GRACIAS

[msc hotline sat]

Se ha de hacer arrancando con el CD de instalacion de XP, como si fueras a instalar, pero con el HOME creo que no accedes a la REPARACION indicada, solo es con el Profesional.



Y los adwares los analizaremos, pero, ¿Has probado de eliminarlos con SPYBOT o AD_AWARE actualizados, arrancando en modo seguro?



Es que debes ser recientes, pues la anterior pasado con el ewido indicaste no detectar nada, asi que debes probar las utilidades convencionales, debidamente actualizadas, antes de pedir analisis o ayuda complementaria!!!



Además no tienen porqué ser del problema inicial, ya que este era anterior a estos nuevos intrusos, y si es otro asunto, debe abrirse otro Tema y cerrar este que ya tiene demasiados post para ser aprovechado en el foro.



Así que procede a editar nuevo Tema al respecto de las muestras que envias indicando si las detectas solo con ewido o tambien con los otros antispywares actualizados, y te contestaremos allí con el resultado del analisis.



Este Tema se cierra en consecuencia



saludos



ms, 8-07-2005

[msc hotline sat]

Como que no he visto abierto nuevo Tema del autor, recibida muestra que ha enviado que indica detecto con ewido, reportamos analisis con VirusTotal, en donde se ve que ya la mayoría de los antivirus, incluido McAfee, Symantec, Haspersky lo detectan, aunque no Panda.


[quote]
[b]Antivirus Version Actualización Resultado [/b]



AntiVir 6.31.0.7 08.07.2005 TR/Proxy.Lager.R

AVG 718 07.07.2005 no ha encontrado virus

Avira 6.31.0.7 07.07.2005 TR/Proxy.Lager.R

BitDefender 7.0 07.07.2005 no ha encontrado virus

ClamAV devel-20050501 07.07.2005 no ha encontrado virus

DrWeb 4.32b 08.07.2005 Trojan.Lopata

eTrust-Iris 7.1.194.0 07.07.2005 Win32/Sinteri.57853!Trojan

eTrust-Vet 11.9.1.0 08.07.2005 Win32.Sinteri.L

Fortinet 2.36.0.0 08.07.2005 suspicious

Ikarus 2.32 08.07.2005 no ha encontrado virus

Kaspersky 4.0.2.24 08.07.2005 Trojan-Proxy.Win32.Lager.r

McAfee 4530 07.07.2005 Proxy-Agent.c

NOD32v2 1.1163 07.07.2005 Win32/TrojanProxy.Lager.F

Norman 5.70.10 07.07.2005 no ha encontrado virus

Panda 8.02.00 07.07.2005 no ha encontrado virus

Sybari 7.5.1314 08.07.2005 Proxy-Agent.c

Symantec 8.0 07.07.2005 Trojan.Abwiz.B

TheHacker 5.8.2.068 08.07.2005 no ha encontrado virus

VBA32 3.10.4 08.07.2005 Trojan.Lopata
[/quote]

cuya descripcion corresponde a:

http://securityresponse.symantec.com/avcenter/venc/data/trojan.abwiz.b.html



El otro fichero EXE incluido en el zip no es virus, solo crea los dos ficheros de texto, con extension txt.



saludos



ms, 8-07-2005