episodio 3 ¿empieso a creer que no es un virus?

[buitre]

buenas tardes

vuelve a pasar lo mismo que el virus y el episodio 2 no logro solucionar no se puede apagar las 2 veces hice lo que me dijeron y funciono pero volvio no se apaga ni de breoma y nada de mi seguridad lo detecta. empiezo a creer que es un fallo de mi computadora hace 5 dias no podia cambiarme de pagina de internet por que me salia de del zone alarm y me decia que lo habian bloqueado por que alguien pudo haber intentado entrar a mi equipo me dijeron que la reiniciara para volver a tener el acceso a mi computadora la reinicie navege y despues volvio a salir eso y creo que otra vez volvio a salir pero dejo de salir y cada vez que prendo mi computadora sale nuevo hardware econtrado y me pide instalado son el: sis port y el commfiltrer no se que sea y me piden cd y nisiquiera le he metido nada a mi computadora y a cada rato en mi computadora sela en la esquina prodiyi infinitum no pudo conectarse a 192.168.254.254 pero no me desconecta ni nadA A Y AQUI ESTA EL LOG:



Logfile of HijackThis v1.99.1

Scan saved at 06:52:34 p.m., on 25/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\sistray.EXE

C:\WINDOWS\System32\keyhook.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Hispasec\CheckDialer\ChkDial.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Plus\Ad-Watch.exe

C:\Archivos de programa\antitroy.exe

C:\ARCHIV~1\NORTON~1\NORTON~1\GHOSTS~2.EXE

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\TELMEX\Prodigy Infinitum\app\TangoService.exe

C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

C:\ARCHIV~1\TELMEX\PRODIG~1\app\TangoManager.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Documents and Settings\Usuario Preinstalado\Escritorio\HijackThis.exe

C:\Documents and Settings\Usuario Preinstalado\Escritorio\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://82.179.166.192/index.php?v=6&aff=623560

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zonavirus.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [Krnlmod] C:\key\Krnlmod.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [Anti-keylogger 6.0.1] C:\Archivos de programa\Anti-keylogger\Anti-keylogger.exe /autorun

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [TangoManager] C:\ARCHIV~1\TELMEX\PRODIG~1\app\TANGOM~1.EXE

O4 - HKLM\..\Run: [CheckDialer] C:\Archivos de programa\Hispasec\CheckDialer\ChkDial.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Plus\Ad-Watch.exe"

O4 - Global Startup: InFoAL AntiTroyanos.LNK = C:\Archivos de programa\antitroy.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Archivos de programa\VisualRoute\vrie.dll

O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Archivos de programa\VisualRoute\vrie.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: ChatSpace Java Client 4.0.0.320 - http://63.99.211.87/ChatSpace/Java/cms40320.cab

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab33902.cab

O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O23 - Service: GhostStartService - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\GHOSTS~2.EXE

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Archivos de programa\TELMEX\Prodigy Infinitum\app\TangoService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe



saludos

[msc hotline sat]

De entrada, antes de tocar nada del HJT debes eliminar el troyano que tienes, EXPLOIT MGT Redir, con tu antivirus, y lanzar un windowsupdate para actualizar parches, pues te falta alguno de critico:



O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!



Tras detecarlo y eliminarlo, informanos si se han solucionado los problemas



Y recuerda que si no actualizas parches e instalas rodos los criticos, no estaras protegido por mas antivirus que pongas.



Hay otras cosas de seguridad como las claves del PROTOCOL DEFAULTS, pero esto ya lo estudiaremos luego. Primero actualiza parches y elimina este Exploit con tu antivirus y reinicias, a ver que tal.



saludos



ms, 26-07-2005

[buitre]

pero que parches me metia a windowsupdate.com y tambien desde mi computadora busque actualizaciones y dice que no hay que ya estoy actualizadoel macafee no me detecto nada y tambien ya esta actualizado

que susede?





saludos

[buitre]

se puede apagar pero si por ejemplo juego maple que es un juego on line y ya llevo 2 horas jugando y ya la apago hay si ya no y si me meto a internet despues de jugar mucho tiempo maple tampoco quiere ¿sera el maple? ¿sera el tiempo que ya no aguante mi computadora? ¿sera el exploit? a de echo el proceso que me enseñaste el 016 que pasa si lo borro con el hjt





saludos

[msc hotline sat]

No sé el VirusScan que utilizas, pero con la version 8.0i ENTERPRISE, solo por copiar el log del HJT ya salta el antivirus indicando detectar el Exploit-MhtRedir.gen



Aparte tienes otras entradas para las que conviene probar el ultomo ELISTARA y aceptar cuiando te pregunte si quieres eliminar la lista de zonas seguras:

[msc hotline sat]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



y cuando te pidala pagina de inicio, pon una cualquiera cpo,mp el http://www.google.es pero no la dejes en blanco, porque no te enterarías cuando te colocaran una como la que tienes, un about:blank pero con un blanlk.html , cuyo código oculto puede hacerte la pascua



saludos



ms, 27-07-2005

[buitre]

el elistara no me detecto nada el macaffe tampoco y ya esta actualizado ya elimine el proceso que me dijo con el hjt pero sige fastidiando al parecer no se quiere eliminar ya me hiso enojar :x y ya no se que hacer sigue molestando alparecer todo ya esta actualizado a e intente bajar el enterpirce 8.0 y dice que no se puede ejecutar por que es un .rar ¿como puedo bajar el enterprice?





saludos

[msc hotline sat]

La version ENTERPRISE d McAfee es para empresas, bajo licencias de uso tras cpntratarlas comercialmente.



Puedes probarla bajando la version trial desde:



http://www.satinfo.es/bin/productos.html



logicamente es una trial, para probar durante unos días, antes de comprar.



saludos



ms, 29-07-2005

[flacoroo]

la extension .rar es del comprimidor winrar....parecido al winzip...bajate el spybot, lo actualizas y lo corres en modo seguro y eliminas todo lo que te salga.....despues iras al menu modo...y pondras avanzado...de ahi te iras a la pestaña herramientas....y de ahi a inicio...en la parte derecha aparece un icono dale click para que se abra...e iras checando uno por uno todos los archivos de inicio y borraras todos aquellos que te digan virus, o que diga no necesario......nos dices como te fue...y por ahi debe estar el programita que te pide instalar el programita tambien deshabilitalo...

[buitre]

perdonen mis escasos conosimientos...¿donde esta el menú?

el spybot elimino algo y alparecer ya sirve(aparentemente) por que aveces no y siempre que prendo la computadora me sale que hay un nuevo hardware encontrade el hwiont el sis driver y el commfiltrer no se ni que es eso





saludos

[msc hotline sat]

Entiendo que flacoroo se refiere al Menú de opciones, que en Mode selecciones Modo avanzado



saludos



ms, 31-07-2005

[buitre]

al parecer se deja apagar pero sigue molestando por el hardware...





saludos

[msc hotline sat]

Riene relacion con la tarjeta o instalacion del MORETV.



Desinstalalo y/o saca dicha tarjeta, y tras normalizar la situacion, instalalo de nuevo correctamente si es tu deseo.



saludos



ms, 5-08-2005