altnetBDE - Virus o Spyware?. Lo tengo en mi maquina.

[orlandol]

Buenas tardes a todos:

Tengo un problema con mi PC hogareña. Si corro el Norton Antivirus 2004 con la definicion de virus actualizada....no detecta ningun virus. Pero el AdAware SE detecta en el registro al AltnetBDE. Por mas que haga lo elimine con el AdAware vuelve a aparecer en forma automatica. Ya probé hacer lo mismo iniciando la PC en Modo seguro....pero el AltNet sigue ahí.



Por favor pueden darme una mano?....Desde ya agradezco de antemano su tiempo.



Saludos.

[maura63]

Si usas XP deberas desactivar antes la restauracion del sistema, luego arrancar en modo seguro y lanzar Ad_aware actualizado y eliminar todo lo que detecte.



Prueba con



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



y pasa tambien Spybot.



Saludos

maura63

[msc hotline sat]

Todavía no habíamos tenido ninguna incidencia con este spyware, que ha sido instalado por el KaZaA Media Desktop, dichoso programa de P2P



Al eliminar este spyware, dejará de funcionar este P2P., tenerlo presente.



Su eliminacion requiere desinstalarlo desde Panel de Control->Agregar Quitar Programas y eliminar claves de registro correspondientes, que hay un monton:


[quote]
HKEY_CLASSES_ROOT\ ADM.ADM

HKEY_CLASSES_ROOT\ ADM25.ADM25

HKEY_CLASSES_ROOT\ ADM4.ADM4

HKEY_CLASSES_ROOT\ Appid\ {8B0FEF15-54DC-49F5-8377-8172DE975F75}

HKEY_CLASSES_ROOT\ Appid\ {99A8E2B2-3405-4C0D-9110-131C14CAAF62}

HKEY_CLASSES_ROOT\ Appid\ adm.exe

HKEY_CLASSES_ROOT\ Appid\ Altnet signing module.exe

HKEY_CLASSES_ROOT\ BdeSmartInstaller25.BdeSmartInstaller25

HKEY_CLASSES_ROOT\ CLSID\ {1D3BCE37-7834-4579-8169-E67681420A98}

HKEY_CLASSES_ROOT\ CLSID\ {3646C2BD-3554-49CA-8125-44DEEFB881DE}

HKEY_CLASSES_ROOT\ CLSID\ {3EEC42B5-FB94-40D3-A588-BB54B383A7CB}

HKEY_CLASSES_ROOT\ CLSID\ {3F4D4F88-0198-4921-B630-957F3EB814E0}

HKEY_CLASSES_ROOT\ CLSID\ {9BBCF06C-DCD7-495D-80DF-CDD5399D0FF8}

HKEY_CLASSES_ROOT\ CLSID\ {C15B7EA2-A360-43E8-A591-5FAEDC7C4E1D}

HKEY_CLASSES_ROOT\ CLSID\ {DEF37997-D9C9-4A4B-BF3C-88F99EACEEC2}

HKEY_CLASSES_ROOT\ CLSID\ {E813099D-5529-47F4-9B37-4AFAFCB00A43}

HKEY_CLASSES_ROOT\ Interface\ {67925164-C4B6-11D2-B9C6-0000E84F59A6}

HKEY_CLASSES_ROOT\ Interface\ {AD5BC1F0-72D8-44B3-8E3D-8E8FECCE43FB}

HKEY_CLASSES_ROOT\ Interface\ {E813099D-5529-47F4-9B37-4AFAFCB00A43}

HKEY_CLASSES_ROOT\ Typelib\ {676F6D1D-C559-42A9-860B-27C1477B7179}

HKEY_CLASSES_ROOT\ Typelib\ {82FC7881-AACC-11D2-B9C6-0000E842E40A}

HKEY_CLASSES_ROOT\ Typelib\ {BFF4F684-677E-44F4-8C74-1D575C950E10}

HKEY_CURRENT_USER\ \ CLSID\ {722F7A80-73FD-11D2-B7D5-0000E842E40A}

HKEY_LOCAL_MACHINE\ Software\ Altnet

HKEY_LOCAL_MACHINE\ Software\ Classes\ adm.adm

HKEY_LOCAL_MACHINE\ Software\ Classes\ adm25.adm25

HKEY_LOCAL_MACHINE\ Software\ Classes\ adm4.adm4

HKEY_LOCAL_MACHINE\ Software\ Classes\ Appid\ {8B0FEF15-54DC-49F5-8377-8172DE975F75}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Appid\ {99A8E2B2-3405-4C0D-9110-131C14CAAF62}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Appid\ adm.exe

HKEY_LOCAL_MACHINE\ Software\ Classes\ Appid\Altnet signing module.exe

HKEY_LOCAL_MACHINE\ Software\ Classes\ CLSID\ {1D3BCE37-7834-4579-8169-E67681420A98}

HKEY_LOCAL_MACHINE\ Software\ Classes\ CLSID\ {9BBCF06C-DCD7-495D-80DF-CDD5399D0FF8}

HKEY_LOCAL_MACHINE\ Software\ Classes\ CLSID\ {C15B7EA2-A360-43E8-A591-5FAEDC7C4E1D}

HKEY_LOCAL_MACHINE\ Software\ Classes\ CLSID\ {DEF37997-D9C9-4A4B-BF3C-88F99EACEEC2}

HKEY_LOCAL_MACHINE\ Software\ Classes\ CLSID\ {E813099D-5529-47F4-9B37-4AFAFCB00A43}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {16097036-894C-4C00-A61F-93CA0D49A70E}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {1B540D44-3F61-4394-AE30-25FDC3649405}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {258A3625-183B-4477-AEE2-EA54DF6D878D}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {29E825AA-13BC-457C-806A-D72E4A25B3C5}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {2ED5AF98-9258-45BA-B79B-06625C92F662}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {700DC0DD-F409-42E0-9DE5-21EE1A2BA9FD}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {9D4548CE-92FD-4C6C-AE7F-3DBE3BC763D8}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {AD5BC1F0-72D8-44B3-8E3D-8E8FECCE43FB}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {CE9B37EC-D243-47A2-83DB-3A8350175193}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {D273D427-57C6-4B12-860F-BBB8195F6E2A}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {E79DADC6-18D0-4A2A-831F-D196D41F8438}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {E813099D-5529-47F4-9B37-4AFAFCB00A43}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {FD42F6D3-7AB1-470C-979B-7996EDC99099}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Typelib\ {5830698F-7FC0-40CD-A453-9A0CAFDF3A64}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Typelib\ {676F6D1D-C559-42A9-860B-27C1477B7179}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Typelib\ {BFF4F684-677E-44F4-8C74-1D575C950E10}

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Code Store Database\ Distribution Units\ {1D6711C8-7154-40BB-8380-3DEA45B69CBF}

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Code Store Database\ Distribution Units\ {C15B7EA2-A360-43E8-A591-5FAEDC7C4E1D}

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ windows\ CurrentVersion\ ModuleUsage\ %sysdir%\ adm.exe

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ windows\ CurrentVersion\ ModuleUsage\ %sysdir%\ adm4.dll

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ windows\ CurrentVersion\ ModuleUsage\ %sysdir%\ admdata.dll

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ windows\ CurrentVersion\ ModuleUsage\ %sysdir%\ admdloader.dll

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ windows\ CurrentVersion\ ModuleUsage\ %sysdir%\ admfdi.dll

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ windows\ CurrentVersion\ ModuleUsage\ %sysdir%\ admprog.dll

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ windows\ CurrentVersion\ SharedDlls

%sysdir%\ adm.exe

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ windows\ CurrentVersion\ SharedDlls

%sysdir%\ adm4.dll

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ windows\ CurrentVersion\ SharedDlls

%sysdir%\ admdata.dll

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ windows\ CurrentVersion\ SharedDlls

%sysdir%\ admdloader.dll

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ windows\ CurrentVersion\ SharedDlls

%sysdir%\ admfdi.dll

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ windows\ CurrentVersion\ SharedDlls

%sysdir%\ admprog.dll

donde %sysdir% es el directorio de sistema de Windows.

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ windows\ CurrentVersion\ UninstallAltnetdm
[/quote]



Incluiremos su eliminacion en el ELISTARA, cuandio tengamos muestra de los siguientes ficheros, para poderlos detectar por cadenas:



ADM.EXE, ADM4.DLL, ADMDATA.DLL, ADMDLOADER.DLL, ADMFDI.DLL y ADMPROG.DLL del directorio de sistema de windows, y el ADM4.INF del subdirectorio DOWNLOADED PROGRAM FILES dentro del directorio de Windows





Si nos los envia a zonavirus@satinfo.es anexado a un mail en cuyo texto ponga REF ALTNET, obraremos en consecuencia.



saludos



ms, 7-07-2005

[orlandol]

De donde puedo bajar el SpyBot?....

No sé si te sirve...pero puedo tambien pasarte el log del AdAware y del HiJackThis 1.99.1



Muchas gracias!!!!

[msc hotline sat]

Lee el post anterior al ultimo tuyo, que no vale Spybot ni HiJackThis. Es una aplicacion instalada por el KaZaA Media Desktop (programa P2P que posiblemente has instalado)



En una proxima version del ELISTARA, lo eliminaremos, desinstalandolo, restaurando todas las claves modificadas y eliminando sus ficheros, pero para ello necesitamos las muestras indicadas en mi post



saludos



ms, 7-07-2005

[orlandol]

Si no entendí mal.... lo que tu necesitas es que te envíe por mail una copia de los files que mencionas?....los " adm*.* "

Tambien comentas que el HiJackThis o el SpyBot no solucionan mi problema...es así?.



Muchas gracias nuevamente.

Saludos.

[msc hotline sat]

Creo que está muy claro lo que te indiqué, que es una aplicacion, no un simple spyware y que su eliminacion conlleva la anulacion de funcionamiento del P2P indicado.



El HJT muestra solo un 1 % del registro. Si las claves indicadas aparecen en el log, marcandolas y con FIX las eliminarías, claro, pero al tratarse de unaaplicacion instalada, habrá claves que no estarán en el log del HJT.



Y los ficheros a enviar son los indicados de las carpetas en cuestion, no todos los ADM*.* que pudieras tener mas y en otras carpetas.



Y sobre el SPYBOT, si ya probaste conb el AD_AWARE en modo seguro y te lo detecta y elimina pero reaparece, no es probale que con el SPYBOT logres mas, pero pruebalo, siguiendo las indicaciones del tutorial de spywares y descargandolo de donde allí se indica:



https://foros.zonavirus.com/viewtopic.php?t=4795



saludos



ms, 8-07-2005

[orlandol]

Entendido el tema de ad-aware y spybot.

El status actual es el siguiente:

_El AdAware SE sigue detectando el altnet.

_Ya corrí en modo seguro el adaware con las actualizaciones y recuperacion de XP desactivados.

_El EliStarA detectó solo un file y lo eliminó

_La segunda vez que pasé el EliStarA ya no detectó nada.

_El EliTriIP detectó un problema en el c:\windows\system32\nvsvc32.exe ->Gaobot.worm.gen.E y no puede eliminar y/o corregir esa infeccion.

_No encuentro en toda la PC los files adm* que mencionas mas arriba.



Por favor, espero tus comentarios.

Saludos.

[maura63]

Comprueba que se muestren archivos ocultos



Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:



1. Ejecute el Explorador de Windows



2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.



3. Seleccione la lengüeta 'Ver'.



4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.



5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.



En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.



En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.



6. Pinche en 'Aplicar' y en 'Aceptar'.





Saludos

maura63

[orlandol]

Si corro el NoAdware v3.0 arroja lo siguiente:

Solo 2 items encontrados, y en el registro del XP.



_Item Location

_Altnet HKEY_LOCAL_MACHINE_SOFTWARE_Altnet\Dashboard

_Altnet HKEY_LOCAL_MACHINE_SOFTWARE_Altnet\Dashboard



Items found :

_Memory : 0

_Registry : 2

_Cookies : 0

_Files : 0



Muchas gracias por tu tiempo.

Saludos.

[orlandol]

Antes de realizar la busqueda verifiqué que el XP muestre todos los files...incluso los ocultos.....exactamente como el procedimiento que tu describes.



Aqui paso el log del AdAware SE ....por si sirve de algo.





Ad-Aware SE Build 1.05

Logfile Created on:Viernes, 08 de Julio de 2005 10:50:10 a.m.

Created with Ad-Aware SE Personal, free for private use.

Using definitions file:SE1R52 30.06.2005

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»



References detected during the scan:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

AltnetBDE(TAC index:4):1 total references

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»



Ad-Aware SE Settings

===========================

Set : Search for negligible risk entries

Set : Safe mode (always request confirmation)

Set : Scan active processes

Set : Scan registry

Set : Deep-scan registry

Set : Scan my IE Favorites for banned URLs

Set : Scan within archives

Set : Scan my Hosts file



Extended Ad-Aware SE Settings

===========================

Set : Unload recognized processes & modules during scan

Set : Scan registry for all users instead of current user only

Set : Always try to unload modules before deletion

Set : During removal, unload Explorer and IE if necessary

Set : Let Windows remove files in use at next reboot

Set : Delete quarantined objects after restoring

Set : Include basic Ad-Aware settings in log file

Set : Include additional Ad-Aware settings in log file

Set : Include reference summary in log file

Set : Include alternate data stream details in log file

Set : Play sound at scan completion if scan locates critical objects





08-07-2005 10:50:10 a.m. - Scan started. (Custom mode)



Listing running processes

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»



#:1 [smss.exe]

FilePath : \SystemRoot\System32\

ProcessID : 876

ThreadCreationTime : 08-07-2005 12:04:47 p.m.

BasePriority : Normal





#:2 [csrss.exe]

FilePath : \??\C:\WINDOWS\system32\

ProcessID : 924

ThreadCreationTime : 08-07-2005 12:04:48 p.m.

BasePriority : Normal





#:3 [winlogon.exe]

FilePath : \??\C:\WINDOWS\system32\

ProcessID : 948

ThreadCreationTime : 08-07-2005 12:04:49 p.m.

BasePriority : High





#:4 [services.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 992

ThreadCreationTime : 08-07-2005 12:04:49 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Sistema operativo Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Aplicación de servicios y controlador

InternalName : services.exe

LegalCopyright : Copyright (C) Microsoft Corporation. Reservados todos los derechos.

OriginalFilename : services.exe



#:5 [lsass.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1004

ThreadCreationTime : 08-07-2005 12:04:49 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : LSA Shell (Export Version)

InternalName : lsass.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : lsass.exe



#:6 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1152

ThreadCreationTime : 08-07-2005 12:04:50 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe



#:7 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1228

ThreadCreationTime : 08-07-2005 12:04:51 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe



#:8 [svchost.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 1268

ThreadCreationTime : 08-07-2005 12:04:51 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe



#:9 [svchost.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 1316

ThreadCreationTime : 08-07-2005 12:04:51 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe



#:10 [svchost.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 1428

ThreadCreationTime : 08-07-2005 12:04:51 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe



#:11 [ccsetmgr.exe]

FilePath : C:\Archivos de programa\Archivos comunes\Symantec Shared\

ProcessID : 1632

ThreadCreationTime : 08-07-2005 12:04:52 p.m.

BasePriority : Normal

FileVersion : 2.1.6.3

ProductVersion : 2.1.6.3

ProductName : Common Client

CompanyName : Symantec Corporation

FileDescription : Common Client Settings Manager Service

InternalName : ccSetMgr

LegalCopyright : Copyright (c) 2000-2003 Symantec Corporation. All rights reserved.

OriginalFilename : ccSetMgr.exe



#:12 [ccevtmgr.exe]

FilePath : C:\Archivos de programa\Archivos comunes\Symantec Shared\

ProcessID : 1660

ThreadCreationTime : 08-07-2005 12:04:53 p.m.

BasePriority : Normal

FileVersion : 2.1.6.3

ProductVersion : 2.1.6.3

ProductName : Common Client

CompanyName : Symantec Corporation

FileDescription : Common Client Event Manager Service

InternalName : ccEvtMgr

LegalCopyright : Copyright (c) 2000-2003 Symantec Corporation. All rights reserved.

OriginalFilename : ccEvtMgr.exe



#:13 [spoolsv.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1812

ThreadCreationTime : 08-07-2005 12:04:54 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Spooler SubSystem App

InternalName : spoolsv.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : spoolsv.exe



#:14 [ctsvccda.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 1908

ThreadCreationTime : 08-07-2005 12:04:54 p.m.

BasePriority : Normal

FileVersion : 1.0.1.0

ProductVersion : 1.0.0.0

ProductName : Creative Service for CDROM Access

CompanyName : Creative Technology Ltd

FileDescription : Creative Service for CDROM Access

InternalName : CTsvcCDAEXE

LegalCopyright : Copyright (c) Creative Technology Ltd., 1999. All rights reserved.

OriginalFilename : CTsvcCDA.EXE



#:15 [cvpnd.exe]

FilePath : C:\Archivos de programa\Cisco Systems\VPN Client\

ProcessID : 1924

ThreadCreationTime : 08-07-2005 12:04:54 p.m.

BasePriority : Normal

FileVersion : 4.0.3 (F)

ProductVersion : 4.0.3 (F)

ProductName : Cisco Systems VPN Client

CompanyName : Cisco Systems, Inc.

FileDescription : Cisco Systems VPN Client

InternalName : cvpnd

LegalCopyright : Copyright © 1998-2003 Cisco Systems, Inc.

OriginalFilename : CVPND.EXE



#:16 [navapsvc.exe]

FilePath : C:\Archivos de programa\Norton AntiVirus\

ProcessID : 192

ThreadCreationTime : 08-07-2005 12:04:55 p.m.

BasePriority : Normal

FileVersion : 10.00.2

ProductVersion : 10.00.2

ProductName : Norton AntiVirus

CompanyName : Symantec Corporation

FileDescription : Norton AntiVirus Auto-Protect Service

InternalName : NAVAPSVC

LegalCopyright : Norton AntiVirus 2004 for Windows 98/ME/2000/XP Copyright (c) 2003 Symantec Corporation. All rights reserved.

OriginalFilename : NAVAPSVC.EXE



#:17 [explorer.exe]

FilePath : C:\WINDOWS\

ProcessID : 352

ThreadCreationTime : 08-07-2005 12:04:56 p.m.

BasePriority : Normal

FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 6.00.2900.2180

ProductName : Sistema operativo Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Explorador de Windows

InternalName : explorer

LegalCopyright : © Microsoft Corporation. Reservados todos los derechos.

OriginalFilename : EXPLORER.EXE



#:18 [nvsvc32.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 448

ThreadCreationTime : 08-07-2005 12:04:56 p.m.

BasePriority : Normal

FileVersion : 6.14.10.5303

ProductVersion : 6.14.10.5303

ProductName : NVIDIA Driver Helper Service, Version 53.03

CompanyName : NVIDIA Corporation

FileDescription : NVIDIA Driver Helper Service, Version 53.03

InternalName : NVSVC

LegalCopyright : (C) NVIDIA Corporation. All rights reserved.

OriginalFilename : nvsvc32.exe



#:19 [savscan.exe]

FilePath : C:\Archivos de programa\Norton AntiVirus\

ProcessID : 620

ThreadCreationTime : 08-07-2005 12:04:56 p.m.

BasePriority : Normal

FileVersion : 9.2.1.14

ProductVersion : 9.2

ProductName : Symantec AntiVirus AutoProtect

CompanyName : Symantec Corporation

FileDescription : Symantec AntiVirus Scanner

InternalName : SAVSCAN

LegalCopyright : Copyright (c) 2003 Symantec Corporation

OriginalFilename : SAVSCAN.EXE



#:20 [svchost.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 712

ThreadCreationTime : 08-07-2005 12:04:57 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe



#:21 [wdfmgr.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 736

ThreadCreationTime : 08-07-2005 12:04:57 p.m.

BasePriority : Normal

FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act)

ProductVersion : 5.2.3790.1230

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Windows User Mode Driver Manager

InternalName : WdfMgr

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : WdfMgr.exe



#:22 [mspmspsv.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 824

ThreadCreationTime : 08-07-2005 12:04:57 p.m.

BasePriority : Normal

FileVersion : 7.00.00.1954

ProductVersion : 7.00.00.1954

ProductName : Microsoft (R) DRM

CompanyName : Microsoft Corporation

FileDescription : WMDM PMSP Service

InternalName : MSPMSPSV.EXE

LegalCopyright : Copyright (C) Microsoft Corp. 1981-2000

OriginalFilename : MSPMSPSV.EXE



#:23 [symwsc.exe]

FilePath : C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\

ProcessID : 892

ThreadCreationTime : 08-07-2005 12:04:58 p.m.

BasePriority : Normal

FileVersion : 2005.1.2.20

ProductVersion : 2005.1

ProductName : Norton Security Center

CompanyName : Symantec Corporation

FileDescription : Norton Security Center Service

InternalName : SymWSC.exe

LegalCopyright : Copyright (c) 1997-2004 Symantec Corporation

OriginalFilename : SymWSC.exe



#:24 [cthelper.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1612

ThreadCreationTime : 08-07-2005 12:05:00 p.m.

BasePriority : Normal

FileVersion : 1, 1, 0, 2

ProductVersion : 1, 1, 0, 2

ProductName : CtHelper Application

CompanyName : Creative Technology Ltd

FileDescription : CtHelper MFC Application

InternalName : CtHelper

LegalCopyright : Copyright (C) 2002-03

OriginalFilename : CtHelper.EXE



#:25 [ccapp.exe]

FilePath : C:\Archivos de programa\Archivos comunes\Symantec Shared\

ProcessID : 2024

ThreadCreationTime : 08-07-2005 12:05:00 p.m.

BasePriority : Normal

FileVersion : 2.1.6.3

ProductVersion : 2.1.6.3

ProductName : Common Client

CompanyName : Symantec Corporation

FileDescription : Common Client User Session

InternalName : ccApp

LegalCopyright : Copyright (c) 2000-2003 Symantec Corporation. All rights reserved.

OriginalFilename : ccApp.exe



#:26 [wscntfy.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 2200

ThreadCreationTime : 08-07-2005 12:05:04 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Windows Security Center Notification App

InternalName : wscntfy.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : wscntfy.exe



#:27 [alg.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 2272

ThreadCreationTime : 08-07-2005 12:05:04 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Application Layer Gateway Service

InternalName : ALG.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : ALG.exe



#:28 [svchost.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 3000

ThreadCreationTime : 08-07-2005 12:05:14 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe



#:29 [iexplore.exe]

FilePath : C:\Archivos de programa\Internet Explorer\

ProcessID : 2684

ThreadCreationTime : 08-07-2005 01:32:11 p.m.

BasePriority : Normal

FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 6.00.2900.2180

ProductName : Sistema operativo Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Internet Explorer

InternalName : iexplore

LegalCopyright : © Microsoft Corporation. Reservados todos los derechos.

OriginalFilename : IEXPLORE.EXE



#:30 [ad-aware.exe]

FilePath : C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\

ProcessID : 424

ThreadCreationTime : 08-07-2005 01:50:04 p.m.

BasePriority : Normal

FileVersion : 6.2.0.206

ProductVersion : VI.Second Edition

ProductName : Lavasoft Ad-Aware SE

CompanyName : Lavasoft Sweden

FileDescription : Ad-Aware SE Core application

InternalName : Ad-Aware.exe

LegalCopyright : Copyright © Lavasoft Sweden

OriginalFilename : Ad-Aware.exe

Comments : All Rights Reserved



Memory scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 0





Started registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»



AltnetBDE Object Recognized!

Type : Regkey

Data :

Category : Data Miner

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : software\altnet



Registry Scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 1

Objects found so far: 1





Started deep registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

<STOP>

10:50:23 a.m. Scan stopped by user



Summary Of This Scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Total scanning time:00:00:12.781

Objects scanned:48810

Objects identified:1

Objects ignored:0

New critical objects:1

[msc hotline sat]

t SI TAL COMO TE INDICA MAURA63 no los encuentras, a lo mejor es que el AD_AWARE ya te los eliminó y lo unico que queda por eliminar son las claves o algunas de las claves.



Puedes mirar en el registro si hay alguna de las claves indicadas y si es el caso, eliminarla, pyes puede que solo sea un resto.



Si es asi tampoco hay que preocuparse demasiado, pero cabe eliminarlo para que no salte la alarma



saludos



ms, 8-07-2005

[orlandol]

Este es el log del HiJackThis 1.99.1



Por si sirve de algo.

Saludos.





Logfile of HijackThis v1.99.1

Scan saved at 10:54:36 a.m., on 08/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HijackThis 1991\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Security\EliTriIP.exe

O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: VPN Client.lnk = ?

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1BD9FB54-8726-4557-A7F0-45866B65A0D4}: NameServer = 200.51.211.7,200.51.212.7

O17 - HKLM\System\CCS\Services\Tcpip\..\{C112173D-E868-4415-9D4D-FCEEEC530F40}: NameServer = 200.51.254.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{1BD9FB54-8726-4557-A7F0-45866B65A0D4}: NameServer = 200.51.211.7,200.51.212.7

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

[maura63]

Ojo... no conozco el NOadware pero te comento que esta catalogado dentro de la lista de anti-spy sospechosos o no confiables.



Saludos

maura63

[maura63]

Elimina estas



O4 - Global Startup: VPN Client.lnk = ? -

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM) -

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM) -

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM) -

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM) -

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM) -



Saludos

maura63

[orlandol]

Ya verifiqué que esas claves existen en el registro...pero no puedo eliminarlas...... ya lo probé en modo normal y modo seguro como administrador.....pero nada..... directamente no puedo modificar los permisos para poder elimonar esos registros.....hay algun proceso que los esta usando y no me deja eliminarlos.

No son solo residuos.....como para que te des una idea...nunca pude hacer un windows update...... hay mnuchas paginas de seguridad que no puedo acceder por este problema.....

Tengo 2 maquinas con el mismo SO.....una infectada y la otra no.....

Con la infectada no puedo acceder al wupdate...con la otra si....con mismas IP....mismos settings....etc....etc...



Me esta volviendo loco....y el tema de sacar el virus ya es una obsecion...... :-)..... no quiero formatear el HD.



Gracias por tu soporte.



Saludos.

[maura63]

Tu log de ad_aware da



AltnetBDE Object Recognized!

Type : Regkey

Data :

Category : Data Miner

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : software\altnet





Abre el registro y en la rama HKEY_LOCAL_MACHINE

software mira si tienes algo relacionado con alnet.

Ojo ..ante la duda no toques nada del registro.



Saludos

maura63

[maura63]

La utilidad ELITOTAL elimina los privilegios de NTFS sobre ficheros , permitiendo acceder a ellos para copiarlos y demas.



ELITOTAL

http://www.zonavirus.com/datos/descargas/99/ELITOTAL.asp



ELIRESTR.VBS (ELIMINA RESTRICCIONES DE REGISTRO DE SISTEMA)



Esta aplicación restaura las claves del registro del sistema modificadas por muchos virus que interceptan la ejecución de ejecutables y restringen accesos, incluyendo edición del registro de sistema. Al ser VBS facilita la ejecucion aunque esten interceptados los exe, ademas de no utilizar el regedit por si estuviera restringida su edición.



http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp



Prueba las dos utilidades.



Saludos

maura63

[orlandol]

Pero como mencioné mas arriba...no puedo eliminar esos registros.....debido a que tampoco puedo cambiar los permisos de los mismos para eliminarlos.



Con respecto al NoAware...no sabia que era sospechoso....pero la verdad es que detecta exactramente lo mismo que el AdAware...... :oops:





Saludos.

[maura63]

Ejecuta las utilidades para eliminar las restricciones y prueba de nuevo.



Saludos

maura63

[orlandol]

Maura:

Corrí las aplicaciones...pero no puedo borrar los registros ni el file c:\windows\system32\nvsvc32.exe....que es el file que detecta con problemas el EliTriIP...



Saludos.

[msc hotline sat]

Si quieres eliminar el NVSVC32.EXE, fijate que en el HJT indica estar en uso el nvsvc32.exe, y asi windows no dejarña eliminarlo.



Arranca en modo seguro, elimina la clave de carga del mismo y elimina el fichero en cuestion.



O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



Y tras ello, reinicia y vielve a pasar el ad_aware a ver si ya no te lo detecta...



saludos



ms, 8-07-2005



PD.- De todas formas yo lo pondría en cuarentena antes de eliminarlo y si nos envias una muestra lo analizaremos a ver lo que es, pues originalmente existe un driver de la tarjeta grafica NVIDIA con el mismo nombre. ms.