ayuda...espia en mi pc!!!!!!!!!!!!! (SOLUCIONADO)

luiscam1 · Mensaje por **luiscam1** » 16 Sep 2005, 07:04

veran ayer me mandaron por el msn un viros o spyware, no se que sea, pero desde ayer, no puedo abrir el panerl de control ni otros comandos como el regedit, mscongig, el administrador de tareas, etc. me manda un mensaje de error diciendo que han sido desabilitados por un administrador, estuve buscando y en la carpeta C, aparace un archivo de nombre TEST.XML, la borro y cuando reinicio la pc esta ahi de nuevo el archivo, ya analice la pc con el kaspersky (actualizado al dia de hoy) y con el ad-aware y no detectan nada, ah, otra cosa que sucede es que el foquito de la unidad de 3.5" a cada rato se prende, ojalá y puedan ayudarme, la verdad ya me desesperé.

saludos a todos

Mensaje por **maura63** » 16 Sep 2005, 14:03

[size=150][color=darkblue]~~[b]~~Como utilizar el Hijackthis para analizar su contenido[/b][/color][/size]

[i]¿Que son los Hijack?[/i]

Es un termino en ingles que en español quiere decir, secuestrador del navegador.

[i]¿Y que es el Hijackthis?[/i]

El HijackThis es un programa que analiza todos los añadidos de nuestro navegador, entre ellos están, barras de herramientas, active x, dll y programas que arrancan en el inicio del sistema ademas de otra informacion, permitiendo activarlos y desactivarlos.

[i]¿Como utilizar el Hijackthis en los foros?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta en el [url=http://foros.zonavirus.com/viewforum.php?f=13]~~[b]~~foro HijackThis[/b][/url].

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Saludos

maura63

Mensaje por **msc hotline sat** » 16 Sep 2005, 14:51

Y sea lo que sea ya lo veremos en el log del HJT, pero mira de poner en la disquetera un disquete formateado, a ver si te copia algo en él, y tras encenderse alguna vez, miras si ha añadido algo y nos lo dices, como respuesta de este Tema, gracias

saludos

ms, 16-09-2005

luiscam1 · Mensaje por **luiscam1** » 16 Sep 2005, 18:46

Logfile of HijackThis v1.99.1

Scan saved at 11:44:06 a.m., on 16/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\CTSVCCDA.EXE

C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

D:\qttask.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Program Files\Media Gateway\MediaGateway.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\drivers\etc\jesse.exe

C:\WINDOWS\system32\ScsiAccess.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Creative\ShareDLL\MediaDet.exe

C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\JOSLUI~1\CONFIG~1\Temp\Rar$EX00.322\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/?.home=msgr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/?.home=msgr

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Archivos de programa\Copernic Agent\CopernicAgentExt.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [QuickTime Task] "D:\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

O4 - HKLM\..\RunServices: [MSChoEx] suge.exe

O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [a] C:\WINDOWS\system32\drivers\etc\jesse.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\ypager.exe" -quiet

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm119YYMX

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Realizar la búsqueda utilizando Copernic Agent - C:\Archivos de programa\Copernic Agent\Web\SearchExt.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Ejecutar Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{30D0987F-4ECD-4650-9DF1-17BB1849CF34}: NameServer = 200.23.242.196 200.23.242.202

O17 - HKLM\System\CS1\Services\Tcpip\..\{30D0987F-4ECD-4650-9DF1-17BB1849CF34}: NameServer = 200.23.242.196 200.23.242.202

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE

O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe

A VER SI LE ENTENDÍ.

SALUDOS....

luiscam1 · Mensaje por **luiscam1** » 16 Sep 2005, 20:29

he puesto en la disquetera un diskette, y si, me copia un archivo de texto confesional.txt, dicho archivo lo abri y dice:

"Dios solo nos dio un 1 y un 0 y con eso, hemos construido un universo" :| 42- ; lo intente abrir de nuevo, pero al parecer se convirtio en un archivo msdos, aunque se sigue llamando confesional.txt

saludos...

Mensaje por **msc hotline sat** » 16 Sep 2005, 21:10

Ahora te analizo el log, pero mientras, mira de abrir este CONFESIONAL.TXT con el bloc de notas y selecciopnas su contenido u lo copias y pegas en un proximo post, de respuesta a este Tema, nos puede dar pistas del bicho.

Ahora analizo el log y te contesto al respecto

saludos

ms, 16-09.2005

Mensaje por **msc hotline sat** » 16 Sep 2005, 21:26

Debes eliminar estas claves, lanzando el HJT, marcandolas y dandole a FIX

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s

O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe

O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm119YYMX

O8 - Extra context menu item: Realizar la búsqueda utilizando Copernic Agent - C:\Archivos de programa\Copernic Agent\Web\SearchExt.htm

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

Luego, tras reiniciar, elimina este fichero:

C:\Program Files\Media Gateway\MediaGateway.exe

Y por ultimo mira si conoces estas aplicaciones sospechosas, y sino las conoces, eliminalas:

O4 - HKLM\..\RunServices: [MSChoEx] suge.exe

O4 - HKCU\..\Run: [a] C:\WINDOWS\system32\drivers\etc\jesse.exe

y si las eliminas, elimina luego (tras reiniciar) estos ficheros jesse.exe y suge.exe

Y nos cuentas el resultado, como respuesta de este Tema, gracias

saludos

ms 16-09-2005

luiscam1 · Mensaje por **luiscam1** » 16 Sep 2005, 23:26

bueno, ya hice todo lo que me indicaron y ya puedo abir e panel de control, asi com el regedit, msconfig, etc. lo que sigue deshabilitado es el administrador de tareas. Creo que ya la llevamos de gane.

Gracias y saludos a todos..., por cierto lo que dice el confecional.txt ya lo escribi arriba:dice algo de Dios no se que...

Mensaje por **msc hotline sat** » 17 Sep 2005, 10:03

Pues dos cosas:

Lo del fichero con el texto en cuestion, hay un solo Tema en Internet al respecto:

http://www.forosdelweb.com/s/msg334091.html

lo indico por si te sirve de pista de como te pudo llegar.

Y bajate la utilidad ELIRESTR.VBS y pruebala, a ver si logramos restableces el acceso al administrador de tareas:

ELIRESTR:

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp

y nos cuentas el resultado como respuesta de este tema, gracias

saludos

ms, 17-09-2005

luiscam1 · Mensaje por **luiscam1** » 17 Sep 2005, 21:55

ok, gracias, ya quedo lo del administrador de tareas, ahota para acabar este tema quisiera saber que fue lo que paso, si era un virus, un spyware, un troyano, etc, y el por que no le detecta mi antivirus ni el ad-aware.

saludos a todos y muchas gracias :wink:

Mensaje por **msc hotline sat** » 18 Sep 2005, 10:06

Probablemente tuviste este virus:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FAGOBOT%2EXM&VSect=T

pero eliminaste el fichero gusano, pero no restairaste las claves modificadas por el virus, por lo que el antivirus no encontraba el fichero, y ya no buscaba claves.

El hecho de que tuvieras esta clave lo delataba:

O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe

si bien el log del HJT no muestra mas que el 1 % del registro, y otras claves modificadas por el bicho, te seguían afectando, por ello no podías abrir el administrador de tareas, ifual que quizas no podías copiar y pegar o editar el registro con el REGEDIT, lo cual corregimos con el ELIREST (Elimina restricciones)

Y los antispywares no tenían nada que detectar ya que no se trataba de ningun troyano de su competencia.

Y solucionado satisfactoriamente el Tema, procedemos a cerrarlo

saludos

ms, 18-09-2005

Mensaje por **msc hotline sat** » 20 Sep 2005, 12:51

~~[b]~~nota postcierre[/b]

Como que este tambien tenía el fichero Jesse.exe y compañia, convendría lanzar la utilidad ElistarA.EXE:

https://foros.zonavirus.com/viewtopic.php?p=39944#39944

Con el HJT vimos el fichero y eliminamos fichero y clave, de carga, pero no otras claves que no aparecen en el HJT, por ello conviene kanzar dicha utilidad

saludos

ms, 20-09-2005