RE: Analizando mensajes. Posible envío de spam (SOLUCIONADO)

luis_atr · Mensaje por **luis_atr** » 08 Ene 2006, 21:50

Hola de nuevo, no se ha solucionado el problema, al hacer todo, he borrado el winstall.exe y la carpeta de backups, he pasado el Ad-Ware y mientras estaba pasando el Norton, se me han empezado a salir otra vez las ventanitas.

Os copio el HJT por si os sirve de ayuda:

Logfile of HijackThis v1.99.1

Scan saved at 22:00:55, on 08/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

G:\Borrador\HijackThis.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Mil gracias de nuevo, un saludo.

Mensaje por **msc hotline sat** » 09 Ene 2006, 07:12

Pues ya en el log del HJT solo quedan atipicos los drivers de Symantec y el info del Acrobat reader, los cuales no se consideran malwares

Cabe que tenga algun spyware o adware que se cargue desde claves del registro visualizadas por el HJT, como un dichoso SPYAXE que con el ELISTARA estamos persiguiendo, y esperamos que con la version qye podremos hacer hoy en funcion de muestras que esperamos, podremos controlar.

Lance el ELISTARA actual por si detectara algo atipico y especialmente esta tarde, cuiando subamos la nueva version 10.90, pruebela y nos informa del resultado, gracias

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 9-1-2006

luis_atr · Mensaje por **luis_atr** » 09 Ene 2006, 21:16

He lanzado el ELISTARA y aparentemente no me hace nada, lo lancé hace como 3 horas, y me abrió una ventanita muy pequeña que pone "Procesando 898 Files y 1284 Class." y ahí sigue sin que aparentemente haga nada. En los procesos del administrador de tareas el archivo ronda casi siempre el 98% de uso de CPU, es normal?tengo que hacer algo más?

Un saludo y gracias de nuevo.

Mensaje por **msc hotline sat** » 10 Ene 2006, 08:10

Tienes algo que impide el proceso del ELISTARA.

Ejecitalo desde Inicio -> Ejecutar -> ELISTARA /DEBUG

Esya opcion /DEBUG permite conocer los procesos que va haciendo. Indicanos cual es el ultimo que aparece y sabremos donde tienes el problema

saludos

ms, 10-1-2006

Nota ya hay la 10.90 del ELISTARA, descargala y mejor que utilices esta

luis_atr · Mensaje por **luis_atr** » 10 Ene 2006, 10:58

Hola de nuevo, ya me había bajado la version 10.90, esperé a la tarde a que lo actualizarais como me dijiste antes.

No me deja ejecutar ELISTARA/DEBUG, me dice que no puede encontrar el archivo.

Gracias otra vez, un saludo.

luis_atr · Mensaje por **luis_atr** » 10 Ene 2006, 12:12

Después de pasar por enésima vez el elistara, al ejecutarlo me aparece una ventanita que pone que os mande un archivo, en concreto el MSCTL32.DLL, clikeo en aceptar y me vuelve a la ventanita pequeña donde me sigue haciendo lo mismo, aparentemente nada.

Un saludo y muchas muchas gracias.

Mensaje por **msc hotline sat** » 10 Ene 2006, 12:38

Pues envianos el fichero indicado y lo analizaremos

el ELISTARA /DEBUG debe separarse con un espacio, el ELISTARA del /DEBUG

Si no lo tienes en una carpeta con path por defecto, indioca la ruta donde lo tengas

por ejemplo si abres una carpeta ZV que cuelgue del principal, y lo copias allí, indica la ruta en la ejecucion : INICIO -> EJECUTAR -> c:\ZV\ELISTARA /DEBUG

saludos

ms, 10-1-2006

luis_atr · Mensaje por **luis_atr** » 10 Ene 2006, 16:13

Buenas, gracias por la aclaración, acabo de hacerlo, pero me hace exactamente lo mismo, me abre la ventanita pone "Procesando 898 Files y 1284 Class." y ahí se queda.

Con respecto al archivo que me pide que os mande, no lo he encontrado por ninguna parte, así que no os lo pude enviar.

Un saludo un y muchas gracias.

Mensaje por **msc hotline sat** » 10 Ene 2006, 16:24

Mira de eliminar manualmente los tempoorales de Internet, desde herramientas -> Opciones de Internet -> Eliminar Archivos temporales

Y aparte posteanos el C:\infosat.txt resultante al ELISTARA /debug

posiblemente sea corrupcion en los temporales, que es frecuente al ser de continuo trajin.

saludos

ms, 10-1-2006

luis_atr · Mensaje por **luis_atr** » 10 Ene 2006, 16:56

Ya elimino los archivos temporales con frecuencia.

Y con respecto al txt no me aparece ninguno al ejecutar el ELISTARA /debug, se me queda esa ventanita

Saludos y gracias

Mensaje por **msc hotline sat** » 10 Ene 2006, 17:08

Si hombre, en C:\infosat.txt hay el fichero de salida con lo que ha hecho, miralo y abrelo con l bloc de notas, lo seleccionas, lo copias y nos lo pegas en tu proximo post

saludos

ms, 10-1-2006

luis_atr · Mensaje por **luis_atr** » 10 Ene 2006, 18:13

Joe, no me había fijado, perdona, a ver esto es lo que pone:

Mon Jan 09 17:16:54 2006

EliStartPage v10.89 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PROPIE~1\CONFIG~1\TEMP\WINLDRA.EXE.Muestra EliStartPage v10.89

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINLDRA.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL --> Eliminado FlashGet (TB)

C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL --> Eliminado FlashGet (BHO)

Eliminada Class, "{A5366673-E8CA-11D3-9CD9-0090271D075B}"

Eliminada Class, "{E0E899AB-F487-11D5-8D29-0050BA6940E3}"

Eliminada Class, "{FB5DA722-162B-11D3-8B9B-AA70B4B0B524}"

Eliminada Class, "{FB5DA724-162B-11D3-8B9B-AA70B4B0B524}"

Tue Jan 10 12:03:23 2006

EliStartPage v10.90 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

[WinLogon\Notify\MSCTL32.DLL]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\MSCTL32.DLL

a "virus@satinfo.es". Gracias.

Pero ahí pone que lo hice con el 10.89, despues de cuando sacastéis la 10.90 también volví a repetir la operación.

Un saludo y muchisimas gracias por atenderme (que soy un pesado jeje)

Mensaje por **msc hotline sat** » 10 Ene 2006, 18:37

Efectivamente, cuando pasaste la 10.89 te pedimos dos muestras, la:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PROPIE~1\CONFIG~1\TEMP\WINLDRA.EXE.Muestra EliStartPage v10.89

a "virus@satinfo.es". Gracias.

de la cual no nos has hablado y la otra del MSCTL32.DLL que es posible que ya eliminara la posterior version 19.90

Pero mira si es asi bajandote la ultima 10.91 que acabamos de subir a la web, en la que hay sensibles mejoras y mira de enviarnos las muestras que te pida este nuevo, ademas de la indicada al principio de este post, que al haber sido renombrada su extension a "MIESTRA DEL ELISTARA 10.89" ya no te la pediría nadie mas, pero es conveniente que nos la envies.

Pensad que gracias a las muestras podemos ir haciendo que las utilidades vatan detectando y eliminando nuevas variantes...

saludos

ms, 10-1-2006

luis_atr · Mensaje por **luis_atr** » 10 Ene 2006, 19:02

Ya os acabo de enviar el archivo ese.

Acabo de ejecutar el ELISTAR 10.91 pero me hace lo mismo, me pone "Procesando 902 Files y 1284 Class." y se queda ahí. Con respecto al archivo infosat.txt, me pone lo mismo, tengo que esperar mas tiempo?que debo hacer?

Un saludo y gracias de nuevo.

Mensaje por **msc hotline sat** » 10 Ene 2006, 19:09

Pruebalo arrancando en modo seguro, no sea que te esté incorfiando algun residente

Y si asi sigue el problema, sugiero lances un COMPROBAR ERRORES (Scandisk) del siste,a

saludos

ms, 10-1-2006

luis_atr · Mensaje por **luis_atr** » 10 Ene 2006, 22:21

Lo he ejecutado desde el modo seguro y si me apareció algo nuevo en el infosat.txt, es los siguiente

Tue Jan 10 22:10:31 2006

EliStartPage v10.91 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

[WinLogon\Notify\MSCTL32.DLL]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\MSCTL32.DLL

a "virus@satinfo.es". Gracias.

Pero comprobandolo...el archivo ese sólo me aparece en modo seguro, lo he buscado en los dos lados e iniciando normalmente windows no aparece, que cosa más rara.

Un saludo y gracias.

Mensaje por **msc hotline sat** » 11 Ene 2006, 06:13

Ahi puede estar el quid de la cuestion, un fichero cuya ejecucion lo oculte y por ello nos ha costado tanto encontrarlo

Pues gracias a tu percepcion puedes haber dado un gran paso contra este malware

Copia este fichero a un disquete o a otra carpeta, y luego reinicia normalmente y nos lo envias a zonavirus@satinfo.es anexado a un mail en cuyo texto indiques la referencia REF OCULTO y tras analiuzarlo, implementaremos su conbtriol y eliminacion en la proxima version del ELISTARA e infor,aremos en consecuencia

saludos

ms, 11-1-2006

Mensaje por **msc hotline sat** » 11 Ene 2006, 10:36

Mientras esperamos la muestra (MUY IMPORTANTE), vemos que no se acaba el ELISTARA por algun problema, pero la informacion del log de la opcion DEBUG se crea en C:\LOGDBG.TXT, fichero quie nos dirña cual es el último proceso que ha podido realizar. ;ira de postearnolso, para saber a qué atenernos

y lo que estña claro es que tienes algo que cuiando est´ña en marcha oculta tanto la clave de carga como los ficheros de determinadas DLL, como es la de la muestra pedida, oues ni aparece en el HJT que posteabas inicialmente ningun 020 WinLOGON NOTIFY ni en los INFOSAT anteriores, señal que bien estar en proceso ella mismo y otra aplicacion, se nos está escondiendo informacion

Por favor, Arranque en modo seguro y lance el HJT de este modo y posteenos el log, ya que asi veremos lo que no vemos normalmente.

No acostumbramos a pedir los logs del HJT en modo seghuro, solo arrancamos asi en todo caso cuandop queremos eliminar algo que se resista, pero estamos viendo que hará falta prescoindior de ver las aplicaciones en uso al ser mas importante ver todo lo que cargan las claves, sin que se oculte nada

saludos

ms, 11-1-2006

luis_atr · Mensaje por **luis_atr** » 11 Ene 2006, 12:14

Bien, aquí está el log de la opción DEBUG:

Fri Aug 01 17:44:05 2031

EliStartPage v10.91 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

00 - Modo Debuger Iniciado

01 - Ficheros Viricos, OK.

02 - Ficheros Complementarios, OK.

03 - BHOs, OK.

TestReg00, OK.

TestReg01, OK.

TestReg02, OK.

TestReg03, OK.

TestReg04, OK.

TestReg05, OK.

TestReg06, OK.

TestReg07, OK.

TestReg08, OK.

TestReg09, OK.

TestReg10, OK.

TestReg11, OK.

TestReg12, OK.

TestReg13, OK.

TestReg14, OK.

TestReg15, OK.

TestReg16, OK.

TestReg17, OK.

TestReg18, OK.

TestReg19, OK.

TestReg20, OK.

TestReg21, OK.

Aquí está el log del HJT en modo seguro:

Logfile of HijackThis v1.99.1

Scan saved at 11:51:52, on 11/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

G:\Borrador\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\SYSTEM32\msctl32.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Y no os puedo enviar el archivo ese, porque cuando lo copio en un disket o en una carpeta, luego al ir al modo normal, no se ve por ningún lado, he intentado entrar en internet desde el modo seguro, pero no me deja.

Muchas muchisimas gracias por todo lo que estás haciendo. Un saludo.

Mensaje por **maura63** » 11 Ene 2006, 12:17

Debes enviar el log arrancando en modo normal.

Elimina esta

R3 - Default URLSearchHook is missing

Y tras apagar observa si esta cambia

O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\SYSTEM32\msctl32.dll

Saludos

maura63

Mensaje por **msc hotline sat** » 11 Ene 2006, 12:57

No maura63, no! en esta ocasion le he pedido que lo haga en modo seguro pues en modo normal se ocultan procesos y determinados ficheros debido a estar residente un rootkit o similar, por ello aunque no veamos los procesos en marcha, nos interesa ver las claves, TODAS, incluidas las que nos ocultarian, como la que indica el usuario que ni el ELISTARA en modo normal, ni el HJT lo vesian, mientras que en modo seguro sí

Esta claro que la clave que indicas eliminar es correcto, oeri voy a ver si se ve algo mas que no se veia en el anterior HJT, seguro que la 020 con la DLL indicada que espero nos envies. Voy a verlo ya que solo contestaba de entrada a maura63 al ser una excepcion respocto a lo hasta ahora normal, y desear aclararle la razon.

Luego sigo ...

saludos

Efectivamente, asi aparece la 020 que de otra forma no, y es porque por ella o por otro residente desconocido, que tambien debe ocultarse en modo normal, cuando est en uso no nos deja ver segun que claves y ficheros,

Bueno, vamos tomandole el pulso...

Pero necesitamos la muestra para poder detectarlo por cadenas. Mira de arrancar en modo seguro con funciones de red, y asi si tienes ADSL con router, podrás enviarnoslo.

Y otra cosa, resulta que el adware que lanza la indormacion de necesitar el SPYAXE, se descarga a traves de visitar paginas web que contienen scripts utilizando el EXPLOIT WMF, asi que MUY IMPORTAMTE en este caso es tener instalado el parche de microsoft MS06-001, en oarticuklarm además de los demás, para lo que sugerimos aplicar un windowsupdate hoy, que ya estan disponibles ademas de esta, las recientes MS06-002 y MS06-003.

Con el parche indicado ya no volverá a entrar el bicho, no sea que lo estenmos eliminando pero vuelva a entrar al navegar sin el parche...

En cuanto recibamos la muestra, seguiremos informando

saludos

ms, 11-1-2006

Mensaje por **msc hotline sat** » 11 Ene 2006, 13:17

Y tras eliminar la O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\SYSTEM32\msctl32.dll en modo seguro, mira de reiniciar de nuevo en modo seguro y tras lanzar el HJT de nuevo, dinos si se ha dejado eliminar o no, gracias

(o posteanos nuevo HJT tras intentar eliminar las claves indicadas)

saludos

ms, 11-1-2006

Mensaje por **msc hotline sat** » 11 Ene 2006, 13:34

Y sobre el ELISTARA /DEBUG en la verison 10.92 que estamos haciendo hemos añadido R pasos que corresponden a R procesos intermedios entre el subproceso 21 y el 22, por lo que esta tarde rogamos descarguen la 10.92 indicada y en modo seguro lancen de nuevo el ELISTARA /DEBUG y nos postee el LOGDBG.TXT para ver el punto donde se encalla.

Saludos

ms, 11-1-2006

luis_atr · Mensaje por **luis_atr** » 11 Ene 2006, 15:02

Bien, ya os he mandado el archivo, entré en modo seguro con funciones de red y me ha dejado conectar y mandarlo.

Después he hecho lo siguiente:

1º He eliminado (en modo seguro) la clave R3 - Default URLSearchHook is missing

2º He intentado actualizar los parches MS06-001, MS06-002 y MS06-003, creo que lo he hecho bien, pero en alguno me daba algún error, así que no sé si lo he hecho como dios manda.

3º He eliminado (en modo seguro) la clave O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\SYSTEM32\msctl32.dll y me ha dejado hacerlo sin problemas.

4º He lanzado el HJT en modo seguro y aquí tenéis el log:

Logfile of HijackThis v1.99.1

Scan saved at 14:47:11, on 11/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

G:\Borrador\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Y ahora por la tarde cuando tengáis ya disponible el ELISTARTA 10.92, lo descargaré, lo lanzaré en modo seguro /DEBUG y os postearé el LOGDBG.TXT.

Un saludo y gracias de nuevo

Mensaje por **msc hotline sat** » 11 Ene 2006, 15:27

PUES MUY BIEN !!!

El HJT en modo segurio ha podido eliminar la 020 del WInLogon Notify !!!

Con eso debería haber quedado solucionado, si bien puede ser gracias al modo seguro en el HJT o al parche MS06-001 que ha impedido que voiviera a entrar este downloader del SPYAXE, PSGUARD, SMITFRAUD, etc etc

Aparte de probar la version 10.92 con la opcion /DEBUG y en modo seguro, y postearnos el log, dinos si persisten los problemas o ya se han solucionado, gracias

ms, 11-1-2006

luis_atr · Mensaje por **luis_atr** » 11 Ene 2006, 21:04

Acabo de bajarme la versión 10.92 del ELISTARTA lo ejecuté en modo seguro y aquí tenéis el log con la opción DEBUG:

Fri Aug 01 17:44:05 2031

EliStartPage v10.92 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

00 - Modo Debuger Iniciado

01 - Ficheros Viricos, OK.

02 - Ficheros Complementarios, OK.

03 - BHOs, OK.

TestReg00, OK.

TestReg01, OK.

TestReg02, OK.

TestReg03, OK.

TestReg04, OK.

TestReg05, OK.

TestReg06, OK.

TestReg07, OK.

TestReg08, OK.

TestReg09, OK.

TestReg10, OK.

TestReg11, OK.

TestReg12, OK.

TestReg13, OK.

TestReg14, OK.

TestReg15, OK.

TestReg16, OK.

TestReg17, OK.

TestReg18, OK.

TestReg19, OK.

TestReg20, OK.

TestReg21, OK.

TestReg21a, OK.

TestReg21b, OK.

TestReg21c, OK.

TestReg21d, OK.

TestReg21e, OK.

TestReg21f, OK.

TestReg21g, OK.

TestReg21h, OK.

TestReg21i, OK.

En un principio parece que los problemas han desaparecido, pero así pasó la otra vez, si quieres te posteo mañana a ver si ya no persisten, o lo das por solucionado ahora y si mañana me vuelven a aparecer abro otro tema, como tu quieras.

Un saludo y muchisimas gracias por atenderme y por daros la lata tantas veces y tanto tiempo. Felicidades.

Mensaje por **msc hotline sat** » 12 Ene 2006, 07:30

Sobre todo, asegurate que tienes el parche del exploit WMF instalado, el MS06-001, para lo cual lanza un windoswupdate y lo veras

Y efectivamente, creemos tener bajo control ya el dichoso malware SPYAXE !!!

Y gracias por tu colaboracion, qye fue decisiva !

Por otro lado revoisaremos ek siguyente proceso al TestReg21i, que es donde se encalla y lo soslayaremos

Efectivamente, solucionado el problema, procedo a cerrar el Tema, y ya sabes donde estamos ...

Y decirte que fue un placer atenderte, y todo un reto solucionar el problema!!!

saludos

ms, 12-1-2006