Al eliminar posible troyano reinicia ordenador (SOLUCIONADO)

[luis_atr]

Hola buenas, hoy he encendido el ordenador y al iniciar Windows me dice que el antivirus que tengo, el Kaspersky Anti-Virus Personal, no detecta protección en tiempo real pero si me detecta un troyano y me dice que he de eliminarlo, dice que es winlogon.exe\winhoo32.dll y es un troyano Trojan.Win32.Agent.qt, entonces nada más darle a eliminar se me reinicia el ordenador. Por modo seguro si que me deja entrar y estar todo el rato que quiera. Bueno, espero me puedan ayudar a solucionar el problemilla, un saludo.

[luis_atr]

Ponglo el log de HijackThis que se me había olvidado:



Logfile of HijackThis v1.99.1

Scan saved at 11:48:05, on 02/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

G:\Programas\Antivirus\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Archivos de programa\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Archivos de programa\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137063926625

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: winhoo32 - C:\WINDOWS\SYSTEM32\winhoo32.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe



Gracias de nuevo.

[msc hotline sat]

De entrada lanza el ELISTARA y posiblemente te encuentre sospechosa esta DLL y te pida enviar muestras. Hazlo em tal caso y la examinaremos e implementaremos su control y eliminacion en la proxima version del ELISTARA





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



procedo a examinar el log de todos modos, ...

[msc hotline sat]

Efectivamenye vcreo que todo el problema viene de la winhoo32.dll, si el ELISTARA no la ha eliminado, envianos dicho fichero como te deve indicar



saludos



ms, 2-6-2006

[luis_atr]

He pasado el ELISTARA y me aparece una ventanita que pone "Procesando 1018 Files y 1454" y después pone "Restaurando Registro de Sistema" y se queda ahí, el proceso del ELISTARA tarda mucho, debo dejarlo mucho tiempo?



Saludos y gracias.

[msc hotline sat]

Devias tener muchos temporales por eliminar, y a veces al windows le cuesta, pero si persiste el problema, reincia, elimina temporales de Internet y lanza el ELISTARA de nuevom y si aun asu tuvieras problemas, lanzalo con la opcion /SALTAREG , pero en cualquier casim genemos tiempo y envianos la DLL de marras, winhoo32.dll, anexada a un mail a zonavirus@satinfo.es con referencia "REF winhoo32"



saludos



ms, 2-6-2006

[luis_atr]

Bien, el ELISTARA me lo pasó con el /SALTAREG y me encontró el WINHOO32.DLL.VIR y parece ser que lo ha eliminado porque si lo busco no lo encuentro, supongo que el problema ya estará resuelto, a no ser que vosotros me digáis lo contrario. También deciros que cambié el antivirus, borré el Kaspersky e instalé el AVG y ya no me ponía eliminar el archivo con lo cual ya no reiniciaba.



Saludos y muchas gracias

[msc hotline sat]

Hay que ver el informe creado en C:\infosat.txt posteanoslo, t asi mismo posteanos un ultimo log del HJT actual, a ver si esta clave 020 de la DLL en cuestion ha sido eliminada o no.



Tras ello informaremos



saludos



ms,. 2-6-2006

[luis_atr]

Veamos...el log del hijackthis:



Logfile of HijackThis v1.99.1

Scan saved at 14:23:03, on 02/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Grisoft\AVG Free\avgcc.exe

G:\Programas\Antivirus\Zona Virus\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Archivos de programa\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Archivos de programa\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137063926625

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: winhoo32 - winhoo32.dll (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe



y el infosat.txt:





Fri Jun 02 12:54:43 2006

EliStartPage v11.80 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\WINHOO32] -> C:\WINDOWS\SYSTEM32\WINHOO32.DLL

C:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL --> Eliminado FlashGet (TB)

C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL --> FlashGet (BHO) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\WINHOO32.DLL --> BackDoor-CVT (notify) Renombrado a .VIR

Eliminada Class, "{A5366673-E8CA-11D3-9CD9-0090271D075B}" -> C:\ARCHIV~1\FlashGet\jccatch.dll

Eliminada Class, "{E0E899AB-F487-11D5-8D29-0050BA6940E3}" -> C:\ARCHIV~1\FlashGet\fgiebar.dll

Eliminada Class, "{FB5DA722-162B-11D3-8B9B-AA70B4B0B524}" -> C:\ARCHIV~1\FlashGet\jccatch.dll

Eliminada Class, "{FB5DA724-162B-11D3-8B9B-AA70B4B0B524}" -> C:\ARCHIV~1\FlashGet\jccatch.dll



Fri Jun 02 13:37:04 2006

EliStartPage v11.80 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Archivos de programa\FlashGet\JCCATCH.DLL.VIR --> Eliminado.



Fri Jun 02 13:45:06 2006

EliStartPage v11.80 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jun 02 13:46:28 2006

EliStartPage v11.80 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\ratDVD\UNINST.EXE --> AutoExtraible

C:\WINDOWS\system32\WINHOO32.DLL.VIR --> Eliminado, BackDoor-CVT (notify)



Fri Jun 02 13:54:02 2006

EliStartPage v11.80 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

G:\Azureus\Incoming\Kill Bill Volumen 1 [DVDR-ratDVD][www.emwreloaded.com]\RATDVDSETUP-0.6.1119.EXE --> AutoExtraible

G:\Azureus\Incoming\Kill Bill Volumen 2 [DVDR-ratDVD][www.emwreloaded.com]\RATDVDSETUP-0.6.1119.EXE --> AutoExtraible

G:\Azureus\Temp\Saw [DVDR][ratDVD][www.emwreloaded.com]\RATDVDSETUP-0.6.1122.EXE --> AutoExtraible

G:\Programas\Antivirus\Antivirus Kaspersky Personal\KAV5.0.156_PERSONALES.EXE --> AutoExtraible

[msc hotline sat]

Pues a todo ello solo cabe limpiar un resto, esta clave:



O20 - Winlogon Notify: winhoo32 - winhoo32.dll (file missing)



Debido a que el ELISTARA eliminó la clave, pero no se pudo eliminar el fichero por lo que lo renombró a .VIR, mientras que la clave se regeneró por estar el bicho residente, y cuando se reinició el ordenador y eliminó elfichero renombrado a .VIR no se eliminó la clave por no existir la DLL, total que ha quedado un resto inocuo pero que no deja de ser basura, por lo que pueda borrar dicha clave, ta sabe, lance el HJT, marque en la casilla de la izquierda de la misma y dele a FIX



y con ello queda libre de polvo y paja, asi que considerando solucionado el Tema, procedemos a cerrrarlo



saludos



ms, 2-6-2006



Nota: Miraremos de implementar en proximas versiones la eliminacion de estos restos caso de encontrar *.DLL.VIR , sintoma de DLL que no se han podido borrar por estar en uso. ms.