caos en mi pc por Hacktool.rootkit 87

[meniu]

Muy buenas, acudo a vosotros ya que no se que puedo hacer, he estado ojeando el foro y he visto que mi problema lo han tenido otros, pero sus soluciones no me han servido.



todo comenzo cuando se me infecto el ordenador con el hacktool, y supongo que ha abierto la puerta a otras cosas como tener en el escritorio iconos de security troubleshooting

y online security guide, ademas del puñetero mensage de spyaxe y el progama instalado, tampoco tengo control de la pagina de inicio del ie.



ni norton ni avg me pillan nada, spybot me coge cosas pero no sirve de nada, trojan remover no hace nada, no se que hacer, espero que alguien pueda ayudarme



gracias por adelantado



Logfile of HijackThis v1.99.1

Scan saved at 21:21:04, on 11/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\mssearchnet.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

D:\MICROLAB\QPSERV.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Jaime\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gruposantander.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hpB8FE.tmp

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - Startup: Servidor Microlab.lnk = D:\MICROLAB\QPSERV.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{7720511A-5FC1-45B4-8157-06D2ACC54606}: NameServer = 195.235.113.3,195.235.96.90

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe (SOLUCIONADO)

[msc hotline sat]

Pues elimina estas claves con el HJT:



O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)



O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)





y bajate el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





Tienes esta clave que es la madre del cordero:



O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hpB8FE.tmp



oero imagino que el fichero cambiara de niombre en cada reinicio, por eso el ELISTARA o te lo detecta por cadenas gracias a las muestras ta recibidas, o de pedira muestra para implementar su control en la proxima version (hacemos una cada dia !)



Si te pide muestra, envianosla, sino señal que ya lo conocemos y tendrás solucionado el problema





Cuentanos el resultado como respuesta de este Tema, gracias



saludos



ms. 12.12.2005



Y envianos tambien este fichero a zonavirus@satinfo.es :



C:\WINDOWS\system32\mssearchnet.exe y luego borralo o si no puedes, muevelo a otra carpeta (cuarentena) ms.

[meniu]

Muchas muchas gracias por contestar, por motivo laboral tengo que esperar a esta noche para poder probar lo que me dices, pero de verdad muchas gracias.

solo una pregunta, debo hacerlo todo en el modo seguro?

y quitando restaurar sistema?

[msc hotline sat]

A pesar de que nuestras utilidades ya detienen el proceso virico en memoria y que deshabilitan la restaucion de sistema, siempre es mejor que se arranque ya en modo seguro y deshabilitada la restauracion de sistema para evitar que esten acivos procesos paralelos de autoregeneracion, de manera que eliminado uno, es cregenerado por otro y viceversa, asi que mejor siempre en la dicha forma



Y esta noche ya habremos subido la nueva v 10.73 del ELISTARA que controlará mas de 19 nuevas variantes, por lo que sugiero que se la descargue entonces y sea la nueva la que utilice.



saludos



ms, 12-12-2005

[msc hotline sat]

Subida la version 10.73 del ELOSTARA a esta web para pruebas de evaluacion en el foro de zonavirus



---v10.73-(12 de Diciembre del 2005) (Muestras de (3)SearchAid o HSA, (3)DownLoader.F, DownLoader.AQW "IDxxxx.TMP", (2)BackDoor-CSL, (6)Puper(dr) "NVCTRL.EXE", (3)Puper(dldr) "MSSEARCHNET.EXE", NewDotNet, Abetterintrnt "NAIL.EXE", y Corregida falsa detección en el fichero "NETSTATVIEWER.EXE")





Pruebela y comentenos el resultado como respuesta de este Tema, gracias



saludos



ms, 12-12-2005

[meniu]

Muy buenas, ya he probado todo, y lo que ha ocurrido es que ya he recuperado el control de mi ie, pero sigo teniendo el spyaxe y su mensage de your computer is infected.



os he mandado el archivo, pero estaba en windows prefetch

y no en system32.



pido mil perdones ya que me he dado cuenta que os tengo que mandar el que elistart me ha mandado en su escaneo, que es el mismo, ahora os lo mando



muchas gracias

[msc hotline sat]

No, los ficheros que estan el la carpeta prefetch son .pf y no sirven, pues solo son extractos de los ejecutables para agilizar su ejecucion.



Pero nos indica luego que el ELISTARA le ha pedido muestra del fichero que ya debe haber movido y renombrado, lo cuak esperamos recibir.



Pues hoy lo añadiremos a la nueva version 10.74 que ya empezamos a hacer ayer, tras compilar la 10.73 para poderla subir a esta web.



saludos



ms, 13-12-2005

[meniu]

vuelvo a pedir perdon.



ya mande ese archivo por lo que entiendo que solo tengo que esperar a que salga la nueva version.



gracias.

[msc hotline sat]

Em 6 minutos subiremos el ELISTARA 10.74 de hoy



saludos



ms, 13-12-2005

[meniu]

pues no ha funcinado, bueno parecia que si ya que el elistar me decia que habia borrado el puper spyaxe, pero al reiniciar vuele a aparecer la pantallita y el spyaxe se me vuelve a instalar, no se si he hecho algo mal.Otra cosa, ahora la pantalla de your computer is infected tambien aparece en el modo seguro



Siento dar el coñazo os mando otra vez mi log



muchas gracias.



Logfile of HijackThis v1.99.1

Scan saved at 20:50:20, on 13/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Jaime\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gruposantander.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - Startup: Servidor Microlab.lnk = D:\MICROLAB\QPSERV.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{7720511A-5FC1-45B4-8157-06D2ACC54606}: NameServer = 195.235.113.3,195.235.96.90

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

[meniu]

ya lo he solucionado por medio de DELPSGUARD

de todas maneras muchas gracias por todo y por solucionarme el resto

[msc hotline sat]

Pues nos alegramos de ello, y solucionado el problema, procedemos a cerrar el Tema



saludos



ms, 16-12-2005