AYUDA POR FAVOR, ESTE ES MILOG

[etijoux]

Logfile of HijackThis v1.99.1

Scan saved at 05:31:12 p.m., on 17/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ZoneLabs\isafe.exe

C:\Archivos de programa\Toshiba\Power Management\CeEPwrSvc.exe

C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

c:\TOSHIBA\Ivp\Swupdate\swupdtmr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Apoint2K\Apoint.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\TOSHIBA\ConfigFree\NDSTray.exe

C:\Archivos de programa\TOSHIBA\PadTouch\PadExe.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Archivos de programa\EzButton\EzButton.EXE

C:\Archivos de programa\TOSHIBA\E-KEY\CeEKey.exe

C:\Archivos de programa\TOSHIBA\Power Management\CePMTray.exe

C:\Archivos de programa\TOSHIBA\TouchPad\TPTray.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE

C:\Archivos de programa\Apoint2K\Apntex.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\toshiba\ivp\ism\ivpsvmgr.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\EDUARD~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis_199.zip\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.toshiba.com/search

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.santandersantiago.cl/canales/empresas/index.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.toshibalatino.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [LtMoh] C:\Archivos de programa\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [PadTouch] "C:\Archivos de programa\TOSHIBA\PadTouch\PadExe.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [EzButton] C:\Archivos de programa\EzButton\EzButton.EXE

O4 - HKLM\..\Run: [CeEKEY] C:\Archivos de programa\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [CeEPOWER] C:\Archivos de programa\TOSHIBA\Power Management\CePMTray.exe

O4 - HKLM\..\Run: [TPNF] C:\Archivos de programa\TOSHIBA\TouchPad\TPTray.exe

O4 - HKLM\..\Run: [Pinger] c:\toshiba\ivp\ism\pinger.exe /run

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Inicio rápido de Microsoft Office OneNote 2003.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.toshibalatino.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123361227820

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\ACS.exe (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Archivos de programa\Toshiba\Power Management\CeEPwrSvc.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Swupdtmr - Unknown owner - c:\TOSHIBA\Ivp\Swupdate\swupdtmr.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[msc hotline sat]

La única entrada que puede eliminarse con toda seguridad es esta:



O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\ACS.exe (file missing)



Hay muchas otras que hacen referencia a Toshiba, y que si su ordenador es de esta marca pueden ser normales, asi como otras desconocidas no necesariamente víricas, por lo que elimine la indicada para lo que lamce de nuevo el HJT, marquela y eliminela con FIX, y tras ello vea si persisten los problemas que parece ser que tiene y vea si han desaparecido.



Comentenos especialmente la marca de su ordenador y si la pagina de inicio tiene la deseada o ha cambiado involuntariamente.



En cualquier caso, INDIQUENOSLOS y tras seguir lo indicado en:



https://foros.zonavirus.com/viewtopic.php?t=5148



posteenos nuevo log acompañando informe del resultado de dichos procesos y anomalías detectadas



saludos



ms, 18-08-2005

[msc hotline sat]

Por lo visto este Tema tenía su origen en otro que se ha cerrado para no tener dos hilos del mismo asunto, y que se copia a continuacion, para poder seguir aqui:


[quote="etijoux"]
etijoux

Novato



Registrado: 17 Ago 2005

Mensajes: 3



Publicado: Jue Ago 18, 2005 10:18 pm Asunto:



--------------------------------------------------------------------------------



HOLA GRACIAS MS POR RESPONDER, LOS SINTOMAS SON LOS SIGUIENTES:

APARECIO MENSAJE

"NTAUTHORITY SYSTEM" CON UNA CUENTA REGRESIVA QUE REINICIABA MI PC, DESPUES

DE CORRER ANTIVIRUS Y ZONE ALARM, NO DETECTO NADA , POR LO QUE USE EL DISCO

DE RECUPERACION DE TOSHIBA Y RESTAURE EL SISTEMA COMPLETO.

EL PROBLEMA HOY ES QUE SIGUE LENTO MI SISTEMA Y AL VER LAS CUENTAS USUARIO EN MODO A

PRUEBA DE FALLOS ME APARECEN USUARIOS PARA MI DESCONOCIDOS LOS QUE TIENEN ACCESO TOTAL: "ANONYMOUS" Y OTROS, ADEMAS EN LA CARPETA HERRAMIENTAS DE

ADMINISTRACION , DEL PANEL CONTROL, TODOS LOS SERVICIOS DE RED Y ALGUNOS LOCALES INICIAN

SESION EN "NT AUTHORITY SYSTEM", CON UNA CONTRASEÑA QUE YO DESCONOZCO Y QUE

NO HE ASIGNADO. ADEMAS EN EL VISOR DE REGISTROS DEL NORTON, EN CONEXIONES ME

APARECEN CONEXIONES EN EL PUERTO BACKDOOR-g-1(1243) O COAUTHOR(1529),

IGRESLOOCK(1524), ORASRV, ETC.

MI SISTEMA ES WINDOWS XP HOME SP2 TENGO NORTON ANTIVIRUS 2005 , ZONE ALARM.

PEGUE MI LOG EN EL FORO CORRESPONDIENTE, SI PUEDEN AYUDARME SE LOS

AGRADECERE MUCHISIMO




[/quote]

[msc hotline sat]

El log del HJT es del 17/8 mientras que en este post indicas que ha restaurado sistema el dia 18 y cabe que no se hayan aplicado posteriormente los parches sobre los nuevos ficheros, con un windowsupdate, por lo cual no tuvieras parcheados los agujeros del Blaster y del Sasser, que son los que impiden el intento de intrusion y evitan el shutdown que lanza windows ante el ERROR correspondiente de desbordamiento de buffer del LSASS o el error del RPCDCOM.



Lanzando el ELITRIIP, además de eliminarte los virus al respecto de estas vulnerabilidades, dirá si encuentra a faltar los indicados parches, y si es el caso, lanzar un windowsupdate.



Como que nos ha dicho que ha utilizado el CD de toshiba consideramos que la pregunta que le haciamos de si su ordenador era de esta marca, nos la contesta afirmativamente, por lo que dejaremos estar las claves que haven referencia a ella, y solo queda por contestar si la pagina de inicio del navegador es la que programó coluntariamente o es otra distinta.



Diganos si tras haber eliminado la clave que le indicamos en su dia persisten o no los problemas, y en caso afirmativo, peguenos un nuevo log actual del HJT, y ya con mas conocimiento de causa podremos actuar.



Sobre todo hágalo como respuesta a este Tema, siguiendo el hilo, gracias.



saludos



ms, 19-08-2005