ayuda porfavor.orans.sys/hacktoll.rootkiT (solucionado)

[Panthera]

de nuevo estoy aki, el norton m avisa d k tengo el virus pero no lo elimina, tambien la conexion se me cambia a sixa y estoy desesperada ya :( aki os dejo el log:



ogfile of HijackThis v1.99.1

Scan saved at 15:35:50, on 06/09/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\settings.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\hkcmd.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\NMain.exe

C:\ARCHIV~1\NORTON~1\navw32.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\noelia\Mis documentos\programas\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telefonica.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E17A0F63-FAF2-4C87-B4D7-A3C604850940}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: settings - Unknown owner - C:\WINDOWS\settings.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: wordpad - Unknown owner - C:\WINDOWS\wordpad.exe

[msc hotline sat]

Pues empiece por actualizar su equipo con los correspondientes parches de microsoft, y antes de postear log del HJT, recuerde:



https://foros.zonavirus.com/viewtopic.php?t=5148



Para ello resumo que tiene que arrancar en modo seguro y deshabilitar la restaitacion de sistema y lanzar el antivirus o el antispyware y podrá eliminar el malware.



Sino, empiece por indicarnos nombre del mismo, y si fyera el caso ya le pediríamos log del HJT, pero una vez tuviera actualizados los parches !!!



Caso de que no pueda eliminarlo, diganos en que ruta y fichero lo detecta, y si es el caso le pediríamos que nos enviara muestra para analizar y en su caso, realizar utilidad de eliminacion



Indiquenoslo como respuesta de este Tema, gracias



saludos



ms, 6-09-2005

[Panthera]

desabilite restaurar sistema y pase el antivirus y el spybot,pero ni el antivirus m lo elimina ni el spybot.



el virus es el hacktool.rootkil en la ruta C/WINDOWS/systemn32/orans.exe

[msc hotline sat]

Elimina esta clave



O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)







y mira si conoces esta y procede en consecuencia



O23 - Service: settings - Unknown owner - C:\WINDOWS\settings.exe



y si la eliminas, tras reiniciar borra el fichero C:\WINDOWS\settings.exe







Y actualiza con windowsuodate !!!







El rootkit es una herramienta de hacker, no un virus



No aparece en el log del HJT



Mira si la tienes instalada en panel de control-Agregar quitar programas y desinstalala





Como que alguna vez hemos recibido muestras que se detectaban como herramienta potencialmente peligrosa y la ioncluimos en el ELITRIIP, lance tambien dicha aplucacion, por si fuera una de estas variantes:



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





y nos informa del resultado. En caso negativo le unducariamos como enviarnos el fichero y lo analizariamos:



saludos



ms, 6-09-2005

[Panthera]

:( sigue igual todo, hice lo k me dijisteis pero sigue ahi, elimine el ficher settings.exe tambien...



al hacer las actualizaciones de windows update no me deja tampoco no se porke.... aver si alguien puede ayudarme porke estoy desesperada ya :cry: saludos y gracias

[zynthia]

Tu windows es original o pirata?

Puede que ahí tengas la respuesta.

[Panthera]

me formatearon el pc hace una semana imagino k sera original :?

[zynthia]

Si el windows no es original no te va a permitir hacer las actualizaciones a través del windowsupdate

[Panthera]

solucionado lo kite con el killbox :lol:

[zynthia]

Me alegro de que lo hayas solucionado. Doy por cerrado este tema.