Mi HJT, problemas con virus!!! * (SOLUCIONADO)

[Anghelo]

Hola amigos, acabo de pasar mi antivirus y antiespias a mi pc y me indica q mi makina se encuentra ok, pero al pasar el antivirus de panda online me salen estos resultados:



Adware:Adware/CssWeb No desinfectado C:\Documents and Settings\Anghelo\Configuración local\Archivos temporales de Internet\Content.IE5\4VU7MD23\cssweb[1].cabcssweb.dll]

Dialer:Dialer.ANF No desinfectado C:\WINDOWS\adiras.exe

Adware:Adware/CssWeb No desinfectado C:\WINDOWS\DownloadedProgramFiles\cssweb.dll

Security Risk:Application/RestartNo desinfectado C:\WINDOWS\system32\Tools\Restart.exe



Aqui les dejo mi log de HJT. Espero q puedan ayudarme, gracias:



Logfile of HijackThis v1.99.1

Scan saved at 02:43:33 p.m., on 20/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Arescom\NDS1060USB ADSL Adapter\dslmon.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Anghelo\Mis documentos\ubi\Antivirus\HijackThis\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://es.yahoo.com/?.home=msgr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.yahoo.com/?.home=msgr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2882C368-D508-11D4-A2AB-000102598CE4} (LProtect Control) - http://download.globalhauri.com/Eng/online_service/livecall.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.freedom.net/viruscenter/onlineviruscheck/cabs/cssweb.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4603/mcfscan.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E2EC32CE-39F4-4402-B6DA-485B104663C7}: NameServer = 200.48.225.130 200.48.225.146

O18 - Protocol: dynascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe

[ENDROGAO]

Lo que detecta panda son restos de las claves de dichos spywares que quedan en el registro. Para el colwebsearch hay una herramienta de desinfeccion o puedes hacerlo con el ad-aware y el spybot, todo ello arrancando en modo seguro.



saludos.

[Anghelo]

y mi log?? hay algo malo ahi??

[maura63]

Elimina archivos temporales de internet, archivos sin conexion e historial.



FIX con hijacthis a esta clave



O18 - Protocol: dynascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll



Arranca en modo seguro desactivando la restauracion y vuelve a pasar Spybot y AD_aware.



Usa tambien



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Nos comentas el resultado.



Saludos

maura63

[maura63]

Comprueba tambien que se muestren archivos y carpetas ocultos, creo que en tu log hay algo escondido.



Saludos

maura63

[Anghelo]

Hola de nuevo. Bueno, hice todo lo que me dicen. desactive restaurar el sistema, arranke en modo seguro, pase el spybot y el ad-aware (los 2 no me detectaron nada) el spybot solo me detecta lo siguiente: Windows Security Center.AntivirusOverride pero eso creo q es x q no tengo la proteccion de microsoft, uso el panda. Luego pase el hjt y me desinfecto lo siguiente: Itfl13n.dll -> WinAd.



Pero acabo de volver a pasar el antiespia de panda online y me detecta esto:

Adware:adware/exact.bargainbuddyNo desinfectado Registro de Windows

Dialer:Dialer.ANF No desinfectado C:\WINDOWS\adiras.exe



Adware:Adware/CssWeb No desinfectado C:\WINDOWS\Downloaded Program Files\cssweb.dll

Security Risk:Application/RestartNo desinfectado C:\WINDOWS\system32\Tools\Restart.exe



Aki les dejo el resultado del hjt, espero su ayuda xfavor.

Logfile of HijackThis v1.99.1

Scan saved at 02:44:54 p.m., on 22/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Arescom\NDS1060USB ADSL Adapter\dslmon.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Anghelo\Mis documentos\ubi\Antivirus\HijackThis\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2882C368-D508-11D4-A2AB-000102598CE4} (LProtect Control) - http://download.globalhauri.com/Eng/online_service/livecall.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.freedom.net/viruscenter/onlineviruscheck/cabs/cssweb.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4603/mcfscan.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E2EC32CE-39F4-4402-B6DA-485B104663C7}: NameServer = 200.48.225.130 200.48.225.146

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe

[maura63]

Quema.... digo FIX a este control



O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.freedom.net/viruscenter/onlineviruscheck/cabs/cssweb.cab



Saludos

maura63

[Anghelo]

Hola maura. Arregle esa entrada q me dices (si no me equivoco esa pagina es una q uds ponen en su seccion de antivirus online), pero ahora kedan estos 2 virus, xfa, ayudame:





Dialer:Dialer.ANF No desinfectado C:\WINDOWS\adiras.exe

Security Risk:Application/RestartNo desinfectado C:\WINDOWS\system32\Tools\Restart.exe



Q puedo hacer???

[maura63]

Arranca en mod seguro y desactiva antes la restauracion del sistema.



Busca en C esto



C:\WINDOWS\adiras.exe



Elimina.



Saludos

maura63

[Anghelo]

y q es esto?? o a q se refiere??:



C:\WINDOWS\system32\Tools\Restart.exe



Salu2.

[maura63]

Donde esta que no lo veo :shock:



Elimina, y mira si en agregar o quitar pogramas tienes algo extraño.



Saludos

maura63

[Anghelo]

Hola, sabes, esaba mirando en otra pagina y decian q ADIRAS.EXE era un proceso necesario, q era de mi modem. Tons, si lo elimino, deja de funcionar o q????

[maura63]

Pues va a ser que si.



No lo borres, pasa un antivirus online y dinos si detecta algo.



Antivirus On-line:



· Computer Associates

https://www.virustotal.com/es/





Saludos

maura63

[Anghelo]

pues pase el antivirus q me das y no detecta nada, en cambio el panda online sigue con lo mismo:



Dialer:Dialer.ANF No desinfectado C:\WINDOWS\adiras.exe

Security Risk:Application/RestartNo desinfectado C:\WINDOWS\system32\Tools\Restart.exe

[maura63]

Descarga , actualiza y ejecuta esta utilidad, pulsa en FIX



http://cwshredder.net/bin/CWShredder.exe



Saludos

maura63

[Anghelo]

pos nada, no detecta nada...

[maura63]

Que problema sigues teniendo.



Saludos

maura63

[Anghelo]

los mismos q me dice el panda.



Dialer:Dialer.ANF No desinfectado C:\WINDOWS\adiras.exe



Security Risk:Application/RestartNo desinfectado C:\WINDOWS\system32\Tools\Restart.exe

[maura63]

Elimina archivos temporales de internet y archivos sin conexion



Pasa Ad_aware y Spybot pero hazlo arrancando en modo seguro y desactiva la restauracion del sistema antes.



Nos comentas el resultado.



Saludos

maura63

[maura63]

Descarga y utiliza tambien este programa



http://www.ccleaner.com



Limpia temporales, y en registro pulsa en buscar problemas, despues en reparar.



Saludos

maura63

[msc hotline sat]

Si a pesar de lo indicado no lo consigues, envianos los dos ficheros anexados a un mail dirigido a zonavirus@satrinfo.es en cuyo texto indiques referencia "REF DIALERANF"





C:\WINDOWS\adiras.exe



C:\WINDOWS\system32\Tools\Restart.exe





e implementaremos su eliminacion en una de nuestras utilidades y lo indicaremos como respuesta de este Tema



saludos



ms, 23-10-2005



[b]NOTA: Y RECUERDA [/b]



https://foros.zonavirus.com/viewtopic.php?t=1307

[Anghelo]

Ok amigos, gracias, acabo de enviarles una muestra de esos ficheros.

[msc hotline sat]

Pues esta mañana, cuando llegue a SATINFO los entrego a i+D y hoy mismo implementaremnos en el ELISTARA su control y eliminacion, suponiendo que los hayamos recibido, claro :lol: :lol: :lol:



saludos



ms, 25-10-2005

[msc hotline sat]

Revisado el correo de esta cuenta para dar prioridad a su muestra, no hay ningun mail con referencia DIALERANF , asi que no espere respuesta hasta repetir el envio, y diganos cuando lo haya hecho para darle curso prioritario



saludos



ms, 25-10-2005

[Anghelo]

Ok amigos, acabo de enviarles de nuevo la muestra de mis ficheros con el asunto: DIALER.ANF.



SALU2.

[msc hotline sat]

Pues tan pronto como esta mañana llegue a SATINFO me intereso sobre el particular y acelero si analisis y desarrollo de la utilidad que lo controle y elimine



saludos



ms, 26-10-2005

[msc hotline sat]

Ya hemos subido a esta web la nueva version del ELISTARA 10.50 que controla y elimina esta nueva variante de dialer:



---v10.50-(26 de Octubre del 2005) (Muestras de (2)WebRebates, Dialer-RAS.DE "ADIRAS.EXE", Restart o Rebootah y mejoras para el Vundo (claves Notify))



Bajesela y pruebela en el equipo infectado, mejor arrancando en modo seguro



saludos



ms, 26-10-2005

[Anghelo]

Gracias amigos, ya se soluciono mi problema, muchas gracias x su ayuda. Una pregunta mas, acabo de usar partition magic en mi pc, pero lei en un foro q no eres partidario de el, x los virus de particion. En esta pagina no dan soluciones para ellos??



Salu2.

[msc hotline sat]

Con el Partition Magic no son aplicables las soluciones standar y tiene que basarse en las utilidades de ellos. Mejor que no se infecte con ninguno de ellos !!!



Una buena medida sería poner la unidad A: como última en el orden del BOOT SEQUENCEen el SETUP del BIOS, por ejemplo:



CDROM - HARDDISK - A:



y asi si no hubiera CD arrancará normalmente de disco duro aunque se olvide un disquete en la disquetera, que es la forma mas frecuente de infectarse con un virus de sector de particion, aunque los hay que lo infectan por ejecucion de ficheros infectados. Y mantenga el antivirus siempre bien actualizado...



Y solucionado el problema, procedemos a cerrar el Tema



saludos



ms, 29-10-2005