Problema commomname

Polito · Mensaje por **Polito** » 11 Jul 2005, 18:41

Hola a todos y decir gracias de mano por molestaros simplemente en leer esto!

Tengo un spyware que me detectecta el panda pero no me lo elimina, me dice que esta en la carpeta svosustv/commoName, pero no me deja borrarla.

El spybot y el adware no me lo detectan.

Aqui voy a pegar la secuencia del hijackthis,si me pueden ayudar si ven algo raro,no entiendo ni una pizca este programa,aunke creo que lo raro es el primer 04 ya ke esta la dichosa carpeta svosustv.

Ahi va la secuencia:

Logfile of HijackThis v1.99.1

Scan saved at 18:27:12, on 11/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Archivos de programa\Archivos comunes\Autodata Limited Shared\Service\ADCDLicSvc.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mm_tray.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Oscar\CONFIG~1\Temp\Rar$EX09.862\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [aIFGXoUx] C:\ARCHIV~1\svosustv\YAACE0RN.exe

O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mm_tray.exe

O4 - HKCU\..\Run: [C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\INICIO.EXE] Panda

O4 - Global Startup: Activar combinación inalámbrica Labtec.lnk.disabled

O4 - Global Startup: Microsoft Office.lnk.disabled

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{A0D10A86-3902-4DA7-8960-CA97F02656BD}: NameServer = 62.36.225.150 62.37.228.20

O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Archivos de programa\Archivos comunes\Autodata Limited Shared\Service\ADCDLicSvc.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

Muchas gracias y un saludo!!

Mensaje por **maura63** » 11 Jul 2005, 19:05

O4 - Global Startup: Microsoft Office.lnk.disabled

Added as a result of various VIRUSES such as VISAGES, BABYBEAR and TOFACED

Antivirus On-line:

· Computer Associates

https://www.virustotal.com/es/

Dinos si detecta algo.

Saludos

maura63

Mensaje por **msc hotline sat** » 11 Jul 2005, 19:12

Muchas claves de troyanos no son visibles desde el HJT, por lo que en este log solo se visualizan las de carga en el inicio, en los BHO, y demás posiciones típicas, pero solo un 1 % de las claves de registro se visualizan en dicho log, y la eliminacion de troyanos y spywares no debe limitarse a la eliminacion en este apartado.

Lance de nuevo el HJT y marque las siguientes:

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - Global Startup: Microsoft Office.lnk.disabled

y eliminelas con FIX

pero luego, el fichero que Panda le detectó como infectado, envienoslo a zonavirus@satinfo.es anexado a un mail cuyo texto indique la referencia "REF commoName" y le contestaremos como respuesta de este Tema, posiblemente implementando la eliminacion del mismo y restaurando las claves que modificara, en nuestra utilidad ELISTARA.EXE

saludos

ms, 11-07-2005

Polito · Mensaje por **Polito** » 12 Jul 2005, 01:40

Siento la tardanza!!

me pone no infected

El panda me sigue diciendo spyware/commomName

C:\archivos de programa\svosustv\cnml.exe

Gracias de nuevo!!!

Polito · Mensaje por **Polito** » 12 Jul 2005, 01:53

Perdonar se me olvidaba,intente mandaros el archivo svosustv a la direccion k me habeis puesto pero me pone lo mismo que cuando quiero eliminarla: cnml.exe ha denegado el acceso

Ese proceso,el cnnml.exe no me sale en el taskmgr.exe

Mensaje por **msc hotline sat** » 12 Jul 2005, 06:27

Mira si puedes mover este fichero a otra carpeta, por ejemplo al escritorio, y si lo logras habremos conseguido dos cosas: Colocarlo fuera de circulacion para que en el proximo reinicio no lo cargue, y que puedas enviarlo, y si acaso para ello, desactiva el antivirus residente, que posiblemente esté impidiendo el envio

saludos

ms, 12-07-2005

Polito · Mensaje por **Polito** » 12 Jul 2005, 18:14

Ya os envie la carpeta dichosa!!

Saludos!!

Mensaje por **msc hotline sat** » 12 Jul 2005, 18:53

Buena señal que pudiera enviarnosla, y si lo hizo moviendo los ficheros a otra carpeta, ya no estarán en uso y se supone que podrá trabajar normal.

Mañana cuando llegue a la empresa lo analizaremos

saludos

ms, 12-07-2005

Polito · Mensaje por **Polito** » 12 Jul 2005, 20:52

Ya esta solucionado!!

MUCHISIMAS GRACIAS!!

Mensaje por **msc hotline sat** » 12 Jul 2005, 21:00

Bueno, supongo que al mover los ficheros malware, tras reiniciar ya no se cargan, pero igualmente analizaremos la muestra y potenciaremos el ELISTARA para que corrija las claves de registro, por lo que convendrá que lo utilices para hacer limpieza de los restos que te habrán quedado en el registro

Lo indicaremos posiblemente mañana mismo cuando esté implementado

saludos

ms, 12-07-2005

Polito · Mensaje por **Polito** » 14 Jul 2005, 20:25

No puedi mandaros el e-mail porque lo borre ese archivo!!!

Era la unica manera de la k me dejaba!

LO siento!!!

si puedo hacer algo mas?

Mensaje por **msc hotline sat** » 14 Jul 2005, 20:35

Pues otra vez será!

Para el caso suyo ya está solucionado, pero no corregidas las claves que el troyano modificó en el registro, y eso ahor, sin las muestras, no podemos implementarlo en el ELISTARA

Si otro usuario lo tiene y nos las envia, entonces prodremos, y en tal caso, si lo ve indicado en el foro, aprovechelo para restaurar las suyasm que tiene modificadas y puede ocasionarle alguna anomalia

Y solucionado el problema, procedemos a cerrar el Tema

saludos

ms, 14-07-2005