Troyano?? (TERMINADO)

[GuillerGMC]

Weno hoy dia 3 de febrero m ha pasado una cosa bastante rara q os paso a resumir.



Mi karspersky totalmente actualizado hizo su análisis rutinario de todos los viernes por las mañanas. No m avisó d nada raro. De firewall uso zonealarm (se q no es gran cosa pero pa lo básico vale).



Pues bueno hasta ahí todo normal, pero cuando fuí a apagar mi pc un rato más tarde, al darle justo a apagar m salió un aviso del antivirus de q tnía un virus (creo q era trojan.backdoor.logonui.b o algo así). Y por el impulso normal le di a eliminar, pero no se si lo acabo d borrar bien o q ya q se estaba cerrando el sistema.



Al volver a encender, en lugar de mi pantalla habitual de inicio de windows XP (esa azul en la q salen las cuentas existentes y sólo tienes q pinxar en la q quieras y meter la contraseña) pues m sale la pantalla totalmente negra con el cuadro de windows para meter contraseña y usuario. Ya revise las cuentas de usuario y está habilitada la pantalla de bienvenida así q debería salir.



Por todo eso no se si es q tengo un virus o no, le volví a pasar el kaspersky y ya no m sale ninguna infección pero es q m resulta muy extraño. Además al cambiar la contraseña y cerrar sesión m sale q el pc está bloqueado por el usuario X (q soy yo) y tengo q meter la nueva contraseña para q se desbloquee y luego ya si m deja cerrar sesión. ¿Puede q sea un troyano q t pille la contraseña de inicio de sesión?



Como veo q os ayuda muxo para algunos caso el empleo de hickjackthis lo pasé después de reiniciar (en modo normal) y m salió esto:



Logfile of HijackThis v1.99.1

Scan saved at 0:07:16, on 04/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Apache Group\Apache2\bin\Apache.exe

C:\Archivos de programa\Apache Group\Apache2\bin\Apache.exe

C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe

C:\WINDOWS\System32\vmnat.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\vmnetdhcp.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\Java\j2re1.4.2_01\bin\jusched.exe

C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe

C:\Documents and Settings\Guiller\Escritorio\HijackThis.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=488

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=021606 serial=DR12CCW-6301582-KSN lang=ES

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Archivos de programa\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_ES_XP.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Apache2 - Unknown owner - C:\Archivos de programa\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Professional 2005\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Professional 2005\RpcSandraSrv.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Os agradecería vuestra ayuda y lo siento por el peñazo pero es q quería describiroslo bien para q tengais toda la información y así solucionarlo más rápido.



Salu2 y gracias d nuevo



P.D.: El firewall en cuanto solucione esto pondré el outpost seguramente (salvo q m aconsejeis otro)

[msc hotline sat]

ANTE TODO FALTAN PARCHES !!! Solo tiene el SP1, y falta el paquete de SP2 y posteriores. Lance un windowsupdate antes que nada !!!





Y elimine las siguientes claves:



O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab



O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_ES_XP.cab



O23 - Service: Apache2 - Unknown owner - C:\Archivos de programa\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)





Tras ello reinicie y cuentenos el resultado como respuesta de este Tema, gracias





(Si hace falta, deberá REPARAR el sistema, arrancando con el CD de instalacion y seguir como si se fuera a instalar, y, tras detectar la particion instalada, indicar REPARAR, no reinstalar, para no perder las aplicaciones instaladas y finalizar con un windowsupdate para parchear los nuevos ficheros sobreescritos,



saludos





ms, 4-2-2006

[GuillerGMC]

Bueno, he intentado lo q m decias. Lo de actualizar m deja sólo las actualizaciones básicas de seguridad y al intentar descargarme el SP2 dice q no se identifica (Error de validación: error en la validación de la clave del producto).Las demás actualizaciones de seguridad están, sólo q m falta el sp2.



Fijé las 3 entradas del hijackthis y lo hice en modo a prueba de fallos x si influia en algo. Reinicie y todo igual, eso sí las 3 entradas no volvieron a aparecer.



Probé a reparar y m pide la contraseña de administrador, contraseña q no tengo pq aunq yo este como administrador del equipo supongo q será la contraseña q metes al instalar windows no la de la cuenta. Por lo q no pude reparar desde el cd



Entonces ya lo único q se m ocurre es formatear. Pero bueno esperaré por si teneis alguna solución más.



Salu2 y gracias por vuestro tiempo

[msc hotline sat]

Arrancando con el CD de instalacion solo te pide la contraseña del certificado de windows, y por lo que indicas del windowsupdate, puede que este sistena no esté validado por microsoft, y por mas que formatees, si usas el mismo CD, te pasará lo mismo...



Revisa que el CD sea original, no copia, antes de hacer nada mas, para no perder el tiempo...



Y nos comentas el resultado, gracias



saludos



ms, 4.2.2006

[GuillerGMC]

Cuando carga todo para la instalación sale Instalar, reparar o salir. Escojo reparar y entra en la consola de reparación. Se pone la pantalla como si fuera ms-dos y me pide q ponga el directorio donde instalé windows. Le doy y luego m pide la contraseña de administrador.



Lo del cd original ahora lo tengo dificil porque aquí ahora sólo tengo una copia. Hasta el lunes no puedo conseguir el original y necesitaba tenerlo mañna.

[msc hotline sat]

Lee bien lo que te posteé al respecto:


[quote="msc"](Si hace falta, deberá REPARAR el sistema, arrancando con el CD de instalacion y [b]seguir como si se fuera a instalar[/b], y, tras detectar la particion instalada, indicar REPARAR, no reinstalar, para no perder las aplicaciones instaladas y finalizar con un windowsupdate para parchear los nuevos ficheros sobreescritos,
[/quote]

Primero debes escoger Instalar, y luego es cuando, tras detectar la particion instalada, debes seleccionar REPARAR...



Pruebalo de nuevo y comenta resultados, gracias



saludos



ms, 4.2.2006

[GuillerGMC]

Weno arreglado creo, ahora le pondre el sp2 q lo encontre en un cd d una revista jejeje. Supongo q el kaspersky m borraría los arxivos infectados y se fastidiaría x eso el inicio de sesión. Gracias por todo mc y perdona por no haberme fijado en lo q m habias dixo.



Por cierto le pongo el outpost firewall o m aconsejas otro??



Salu2

[GuillerGMC]

Bueno parecia solucionado pero no, al reiniciar pq tuve q volver a instalar los drivers d mi tarjeta pci inalambrica m volvió a dar el problema. Ahora no tgo muxo tiempo para seguir probando cosas, así q probablemente acabe formateando en cuanto tenga un poco de tiempo.



Salu2 y gracias de todas formas

[msc hotline sat]

Ante tu decision, damos por terminado el Tema, y ya sabes donde estamos cuando nos necesites de nuevo



saludos



ms, 5-2-2006