Mensaje sospechoso (Solucionado)

[jesus0608]

Hola a todos/as:



Acabo de aterrizar en este foro, mi problema no es grave, (aparentemente), pero si que es un tanto sospechoso.



Desde hace 3 o 4 días, al arrancar mi ordenador que va con Windows 2K profesional, me aparece una ventana con el siguiente mensaje:



Warning



Demo version!



Time is come...



Y la opción de aceptar.



Si pulso aceptar, puedo trabajar con normalidad, si cierro la ventana también y si no hago niguna de las dos cosas, también.



Ahi está lo raro, que aparentemente, el ordenador funciona hagas lo que hagas con el mensaje de advertencia. He mirado en el panel de control instalar/desinstalar software y no he visto ningún programa raro o nuevo que yo no tenga controlado.



Por favor, si alguien sabe de que va esto que me lo diga.



Gracias a todos.

[maura63]

Bajar :

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.



Saludos

maura63

[msc hotline sat]

Supongo que se trata de un fondo de pantalla adware., como el SmitFraud



Baja el ELISTARA. luego arranca en modo seguro y lo lanzas, y nos cuentas el resultado.



Habrá que estudiarlo mas a fondo, pero veamos si asi ya puedes puksar con el botyon derfecho en el escritorio y en PROPIEDADES modificar dicho findo.





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







saludos



ms, 29-09-2005

[flacoroo]

tambien puede deshabilitar el mensajero de windows....

panel de control

herramientas administrativas

servicios

mensajero ó menssenger -----> esta en modo automatico hay que deshabilitarlo



nos dices como te fue.....

[msc hotline sat]

Si que los hay a través del messenger, pero no impiden cambiar el fondo de pantalla, sino que son carteles o imagenes encima, o sea, HTML ejecutados y visualizados, que no parece ser el caso, pero no está de mas desactivar al mensajero, que si no es el causante hoy, lo sería mañana



saludos



ms, 29-09-2005

[jesus0608]

Bueno vamos por partes:



Maura63 ya realicé los pasos que me dijiste y aquí reproduzco el resultado, aunque tengo que decir que el mensajito sigue ahí.



No obstante, te doy las gracias por tan pronta respuesta, me he quedado asombrado de lo guay que es la gente en los foros.



Logfile of HijackThis v1.99.1

Scan saved at 15:48:55, on 29/09/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\CTsvcCDA.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\nvsvc32.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv50.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\MsPMSPSv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\explorer.exe

C:\WINNT\system32\CTHELPER.EXE

C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=explorer.exe rundll.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [CTStartup] C:\Archivos de programa\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/ES/install.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv50.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

[jesus0608]

Bueno mschotline.sat aquí están los resultados de las pruebas realizadas con elistara:





Thu Sep 29 14:31:02 2005

EliStartPage v10.35 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINNT\UpdReg.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 29 14:35:24 2005

EliStartPage v10.35 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINNT\system32\ltfil13n.DLL --> Eliminado, WinAd



También tengo que decir que despues de esto, el mensaje sigue saliendo, pero habrá que tener paciencia, estoy seguro de que con vuestra amabilidad y ganas de ayudar, lo conseguiremos. También gracias por tu rápida ayuda.

Sois fabulosos, de verdad.

[msc hotline sat]

Bueno, ya lo pillamos:



Esta clave debe restaurarse, no eliminar, cuidado !!!:



F2 - REG:system.ini: Shell=explorer.exe rundll.exe



Para ello envienos este fichero RUNDLL.EXE a zonavirus@satinfo.es anexado a un mail en cuyo texto indique la referencia "REF RUNDLLEXE" y contestaremos como respuesta a este Tema con la utilidad adecuada



saludos



ms, 29-09-2005

[msc hotline sat]

A la espera del fichero, hemos buscado informacion de lo que podía ser, y aunque muy poco propagado, existe esta descripcion que concuerda:



_____________





Virus information

Troj/AnaFTP-01

Summary



Summary Description Recovery



Profile

Name Troj/AnaFTP-01

Type Trojan



Protection

Protection available since March 2003

Detected by Sophos Anti-Virus.

Staying up to date

EM Library provides fully automated updating of Sophos Anti-Virus on a wide range of platforms. If you're using one of our enterprise solutions and aren't already using EM Library, check it out now. Users of our small business solutions are automatically updated by Sophos AutoUpdate.





Description



Summary Description Recovery



This section helps you to understand how it behaves



Troj/AnaFTP-01 is an FTP Trojan that copies itself to the file C:\Windows\ Rundll.exe and sets the following registry entries to ensure the Trojan will be run on system restart:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

recover.bmp.exe = C:\Windows\Rundll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\

recover.bmp.exe = C:\Windows\Rundll.exe

HKLM\Software\Microsoft\Active Setup\Installed Components\

recover.bmp.exe = Stub Path C:\Windows\Rundll.exe ASC

Troj/AnaFTP-01 will insert the lines 'Load=Rundll.exe' and 'Run=Rundll.exe' in the [Windows] section of C:\Windows\Win.ini as well as the line 'Shell=Explorer .exe Rundll.exe' in the [Boot] section of C:\Windows\System.ini.

The Trojan will open port 41462 for listening, allowing remote access to the user's file system via commands sent to Troj/AnaFTP-01.







Recovery



Summary Description Recovery



This section tells you how to disinfect.

Please read the instructions for removing Trojans.

Editing the registry

You will also need to edit the following registry entries, if they are present.

At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.

Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.

Locate the HKEY_LOCAL_MACHINE entries:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

recover.bmp.exe = C:\Windows\Rundll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\

recover.bmp.exe = C:\Windows\Rundll.exe

HKLM\Software\Microsoft\Active Setup\Installed Components\

recover.bmp.exe = Stub Path C:\Windows\Rundll.exe ASC

and remove these references.

Close the registry editor.

Editing Win.ini and System.ini

At the taskbar, click Start|Run and type Sysedit.

Bring Win.ini to the front. In the [windows] section, search for the lines 'Load=Rundll.exe' and 'Run=Rundll.exe'. Delete these lines.

Bring System.ini to the front. In the [Boot] section, search the line 'Shell=Explorer .exe Rundll.exe'. Delete this line, ensuring that a line 'Shell=Explorer.exe' remains.

Reboot your computer.







© 1997-2005 Sophos Plc. All rights reserved. Legal | Privacy







____







Virus information

Troj/AnaFTP-01

Summary



Summary Description Recovery



Profile

Name Troj/AnaFTP-01

Type Trojan



Protection

Protection available since March 2003

Detected by Sophos Anti-Virus.

Staying up to date

EM Library provides fully automated updating of Sophos Anti-Virus on a wide range of platforms. If you're using one of our enterprise solutions and aren't already using EM Library, check it out now. Users of our small business solutions are automatically updated by Sophos AutoUpdate.





Description



Summary Description Recovery



This section helps you to understand how it behaves



Troj/AnaFTP-01 is an FTP Trojan that copies itself to the file C:\Windows\ Rundll.exe and sets the following registry entries to ensure the Trojan will be run on system restart:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

recover.bmp.exe = C:\Windows\Rundll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\

recover.bmp.exe = C:\Windows\Rundll.exe

HKLM\Software\Microsoft\Active Setup\Installed Components\

recover.bmp.exe = Stub Path C:\Windows\Rundll.exe ASC

Troj/AnaFTP-01 will insert the lines 'Load=Rundll.exe' and 'Run=Rundll.exe' in the [Windows] section of C:\Windows\Win.ini as well as the line 'Shell=Explorer .exe Rundll.exe' in the [Boot] section of C:\Windows\System.ini.

The Trojan will open port 41462 for listening, allowing remote access to the user's file system via commands sent to Troj/AnaFTP-01.







Recovery



Summary Description Recovery



This section tells you how to disinfect.

Please read the instructions for removing Trojans.

Editing the registry

You will also need to edit the following registry entries, if they are present.

At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.

Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.

Locate the HKEY_LOCAL_MACHINE entries:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

recover.bmp.exe = C:\Windows\Rundll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\

recover.bmp.exe = C:\Windows\Rundll.exe

HKLM\Software\Microsoft\Active Setup\Installed Components\

recover.bmp.exe = Stub Path C:\Windows\Rundll.exe ASC

and remove these references.

Close the registry editor.

Editing Win.ini and System.ini

At the taskbar, click Start|Run and type Sysedit.

Bring Win.ini to the front. In the [windows] section, search for the lines 'Load=Rundll.exe' and 'Run=Rundll.exe'. Delete these lines.

Bring System.ini to the front. In the [Boot] section, search the line 'Shell=Explorer .exe Rundll.exe'. Delete this line, ensuring that a line 'Shell=Explorer.exe' remains.

Reboot your computer.







© 1997-2005 Sophos Plc. All rights reserved. Legal | Privacy

___________________





Por tanto seguramente encontrará este fichero RUNDLL.EXE, en la carpeta C:\windows



Envienoslo en cuato pueda para comprobar que sea el mismo y proceder a incluirlo en nuestras utilidades para su eliminacion, limpieza y restauracion.



saludos



ms, 29-09-2005

[maura63]

Independientemente del problema borra estas entradas creo que del alexa



O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm



Saludos

maura63

[msc hotline sat]

Son la claves del ALEXA, que bien está eliminarlas, aunque debiera haberlas eliminado el SPYBOT p el AD_AWARE o el antispyware que haya utilizado ???



Voy a ver si la implementamos tambien en el próximo ELISTARA, aunque no tenga nada que ver con el mensaje en cuestion.



saludos



ms, 29-09-2005

[msc hotline sat]

En la proxima version del ELISTARA eliminaremos estas dos claves del ALEXA que ta lo hacen los antispywares, pero buscando informacion, realmente es increible que sea la instalacion del IE6 o del SP2 quien lo instale !!!



http://www.felgall.com/brsie9.htm



http://www.imilly.com/alexa.htm



Sin que tenga mayor importancia, pero es que nos controlan HASTA LO QUE ECHAMOS POR EL RETRETE !!!



no había buscado quien lo ingresaba en el ordenador, me constaba que el Gator viene en el Windows Media Player, pero esto del ALEXA...



saludos



ms, 29-09-2005

[maura63]

Simplemente instala por ejemplo windows 2K o XP y te metera el gol del alexa.



Saludos

maura63

[msc hotline sat]

Pues a parttir de la nueva version del ELISTARA de mañana, tambien lo controlaremos y eliminaremos, sea lo que sea, ya que hay opiniones para todo, y como que hay logs del HJT en los que aparece, cuando no debería ser así al eliminarlo cualquier de los spywares, por si gyera poco lo añadiremos al ELISTARA, de modo que lo elimine automaticamente si lo encuentra.



Y a ver si nos envian tambien este RUNDLL.EXE de C:\windows y asi matamos el gusano de este Tema, y en el proximo ELISTARA aladimos dos pájaros de un tiro, o mas...



saludos



m,s, 29-09-2005

[jesus0608]

Hola de nuevo, ayer jueves por la tarde os envié el fichero RUNDLL por e-mail.



Saludos

[jesus0608]

Pues ya me he enterado de que el fichero no ha llegado porque el panda lo ha enviado a cuarentena por sospechoso.



Lo que aún no entiendo es cómo no ha realizado esta misma acción en cualquiera de los arranques del sistema, en los que se supone que chequea los ficheros de sistema y el boot.



En fin, esta tarde cuando termine mi jornada de trabajo lo intentaré enviar comprimido.



Saludos

[msc hotline sat]

Con el EliStarA 10.36 que se subirá hoy a la web se controlará este rundll.exe y se restaurará la clave correspondiente.



saludos

[jesus0608]

Buenas,



Pues ya descargué elistara, ya lo ejecuté y ya me quedé sin el fichero rundll.exe, pues lo ha eliminado en lugar de desinfectarlo.



Tengo la copia comprimida que os envié para examinar, pero no sé que hacer ahora: Si lo pongo otra vez en su sitio, me volverá a salir el mensaje famoso; si lo analizo con elistara me lo eliminará, que hago ?

[maura63]

Elimina tambien esa copia.



Saludos

maura63

[jesus0608]

Quiero dar las gracias por vuestra ayuda. Mi problema se ha solucionado con rapidez y eficacia.

[maura63]

Pues nos alegramos de ello, y solucionado el tema lo cerramos.



Saludos

maura63