cmmon.pif ? qué es esto? (SOLUCIONADO)

[susiea]

Hola,



Hay algo raro en mi log, es este cmmon creo.

Puedo eliminarlo sin problemas, algo más?.



Saludos,

Susi





Logfile of HijackThis v1.99.1

Scan saved at 22:09:21, on 17/08/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINNT\system32\internat.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\WINNT\system32\cmmon.pif

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\WINNT\system32\cmmon.pif

C:\DOCUME~1\User\CONFIG~1\Temp\Rar$EX00.034\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.creative.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [RemoteControl] C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Microsoft Connection Manager Monitor] cmmon.pif

O4 - HKLM\..\RunServices: [Microsoft Connection Manager Monitor] cmmon.pif

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Microsoft Connection Manager Monitor] cmmon.pif

O4 - HKCU\..\RunServices: [Microsoft Connection Manager Monitor] cmmon.pif

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O14 - IERESET.INF: START_PAGE_URL=http://www.creative.com

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123775536748

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

[msc hotline sat]

Las cuatro claves que hacen referencia a cmmon.pif , si no las conoces, las puedes eliminar:



O4 - HKLM\..\Run: [Microsoft Connection Manager Monitor] cmmon.pif

O4 - HKLM\..\RunServices: [Microsoft Connection Manager Monitor] cmmon.pif

O4 - HKCU\..\Run: [Microsoft Connection Manager Monitor] cmmon.pif

O4 - HKCU\..\RunServices: [Microsoft Connection Manager Monitor] cmmon.pif



Podrían estar relacionadas con una aplicacion de microsoft: "Microsoft Connection Manager Monitor" pero no está claro al faltar "32" al final del nombre. Tambien podría tratarse de una variante de un virus de VBS, el Petik, Por ello, si encuentras el fichero con este nombre CMMON.* envianoslo anexado a un mail a zonavirus@satinfo.es para analizarlo, e indicanos en el texto del mail la referencia "REF: CMMON.PIF" para poder contestarte como respuesta de este Tema con el resultado del analisis.





Las que conviene eliminar, en cualquier caso, son estas dos:





O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)



O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)





y si no quieres tener a http://www.creative.com como pagina de inicio, elimina tambien esta:



O14 - IERESET.INF: START_PAGE_URL=http://www.creative.com



Y ya que usas W2000, comprueba que tengas instalado el reciente parche MS05-039, pues sino eres vulnerable al nuevo virus:



https://foros.zonavirus.com/viewtopic.php?t=8096





saludos



ms, 18-08-2005

[maura63]

Elimina tambien estas dos entradas.



O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm





Saludos

maura63

[susiea]

Hola,

he eliminado las que me sugerísteis, también he mandado el archivo "infectado", pero no se trata ya del CMMON.pif, sino de UPDATER.pif (habrá cambiado para que no le reconozcamos?).

Mi actual log es:



Logfile of HijackThis v1.99.1

Scan saved at 12:44:49, on 18/08/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINNT\system32\internat.exe

C:\WINNT\system32\updater.pif

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\User\CONFIG~1\Temp\Rar$EX00.334\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.creative.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [RemoteControl] C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [MS Windows Security Updater] updater.pif

O4 - HKLM\..\RunServices: [MS Windows Security Updater] updater.pif

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [MS Windows Security Updater] updater.pif

O4 - HKCU\..\RunServices: [MS Windows Security Updater] updater.pif

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123775536748

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe



SALUDOS!!!

Susie

[msc hotline sat]

Si, pero el que hat ahora de mas es el UPDATER:



O4 - HKLM\..\Run: [MS Windows Security Updater] updater.pif



O4 - HKLM\..\RunServices: [MS Windows Security Updater] updater.pif



O4 - HKCU\..\Run: [MS Windows Security Updater] updater.pif



O4 - HKCU\..\RunServices: [MS Windows Security Updater] updater.pif





Por lo que parece que sobrevive...



Mira de apagar el ordenador, arrancar pulsando repetidamente F8 y escoger ARRANCAR EN MODO SEGURO, y en este modo lanzas el HJT y seleccionas las 4 claves arriba indicadas y las eliminas con FIX.



Tras ello reinicias normalmente ylanzas de nuevo el HJT a ver si al haberlo hecho sin que estubioeran residentes en memoria, las hemos podido eliminar totalmente.



Si no es asi, convendrá confogiurar windows para que muestra todos los fiocheros y carpetas, ocultos y de sistema, y volver a postearnos el log del HJT, pues sería causado por algun bicho actualmente no visible, y no es cuestion de dejar que se esconda !!!





saludps



ms, 18-08-2005

[susiea]

Pues no había eliminido esas entradas porque no estaba segura, hasta que analizárais el archivo que os envié, de todas formas lo he hecho hace un ratito y si que me deja (aunque pueden reaparecer si reinicio?, no lo se).



el log ahora es este:



Logfile of HijackThis v1.99.1

Scan saved at 13:31:29, on 18/08/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINNT\system32\internat.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\User\CONFIG~1\Temp\Rar$EX00.432\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.creative.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [RemoteControl] C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123775536748

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe



Saludos!!

[msc hotline sat]

Pues solucionado.



Si no vuelven a aparecer tras reiniciar, ya te las has quitado de encima.



Considerando solucionado el Tema, procedenmos a cerrarlo. Si tuvieras cualquier incidencia posterior, kaz referencia al mismo en uno nuevo, indicando este link:



https://foros.zonavirus.com/viewtopic.php?t=8101



saludos



ms, 18-08-2005