Problema al iniciar Norton Systemworks

[sardaukar]

Por favor, tengo un problema que no consigo solucionar: si al estar conectado a internet inicio Norton Systemworks, el ordenador empieza a hacer el intento de mandar mensajes a direcciones desconocidas; Norton no para de bloquearlos pero siguen enviándose y cuando paso el antivirus no detecta nada. ¿alguien sabe qué puede ser?

[msc hotline sat]

Puede tener un virus aun no controlado.



Posteenos el log del HJT y lo analizaremos:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



saludos



ms, 2.7.2006

[sardaukar]

Logfile of HijackThis v1.99.1

Scan saved at 11:14:32, on 02/07/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\System32\CTsvcCDA.exe

C:\ARCHIV~1\NORTON~1\NORTON~4\GHOSTS~2.EXE

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\Service.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\ezSP_Px.exe

C:\WINDOWS\System32\carpserv.exe

D:\Programas\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Norton AntiVirus\OPScan.exe

D:\Programas\Radio\sw\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.yahoo.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {31F75A06-667B-4D7B-B59D-78ED28B4DF21} - C:\WINDOWS\System32\smwggcph.dll

O2 - BHO: CIEPl Object - {6BB18EFE-F2C7-457C-81FE-705757171FA0} - C:\WINDOWS\system32\getui.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] d:\programas\clonecd\ElbyCheck.exe /L ElbyCDFL

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [RemoteControl] D:\Programas\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [zSPGuard] c:\archivos de programa\startpage guard\spguard.exe /s /r

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NexusServer] "C:\Archivos de programa\Archivos comunes\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [qxqidaaa] C:\WINDOWS\System32\qxqidaaa.exe

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

O4 - HKCU\..\Run: [RealPlayer] "C:\Archivos de programa\Real\RealOne Player\realplay.exe" /RunUPGToolCommandReBoot

O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe

O4 - HKCU\..\Run: [qxqidaaa] C:\WINDOWS\System32\qxqidaaa.exe

O4 - Startup: PowerReg Scheduler.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: MSWin.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {3BB4FE3B-7A37-11D3-A41E-0060080C03B3} (Entire Screen Builder Web Viewer) - http://www.igae.pap.meh.es/activex/NWWClientFullSP.cab

O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab

O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab

O16 - DPF: {4B0999FD-6937-11D5-8FEC-00606779369C} (NetConf) -

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,911,0

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119997025650

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9A91D83E-A836-4DAB-A17C-764B11A30EA7}: NameServer = 85.255.115.30 85.255.112.153

O17 - HKLM\System\CCS\Services\Tcpip\..\{A58009C1-97DF-448E-996F-D609B2812131}: NameServer = 85.255.115.30,85.255.112.153

O17 - HKLM\System\CCS\Services\Tcpip\..\{B9AB9E4B-6E79-4222-A6E0-C487D579505E}: NameServer = 85.255.115.30,85.255.112.153

O17 - HKLM\System\CCS\Services\Tcpip\..\{CE4F9648-4739-446B-897B-9D4B29BE974C}: NameServer = 85.255.115.30,85.255.112.153

O17 - HKLM\System\CCS\Services\Tcpip\..\{DAB39B82-3C46-4B6D-950A-736E663F3060}: NameServer = 85.255.115.30,85.255.112.153

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: getui - C:\WINDOWS\SYSTEM32\getui.dll

O20 - Winlogon Notify: jcibxkke - C:\WINDOWS\SYSTEM32\jcibxkke.dll

O20 - Winlogon Notify: wptnmpso - C:\WINDOWS\SYSTEM32\wptnmpso.dll

O21 - SSODL: IEFilter - {0DCEBB4D-2EFB-45EE-98E2-A5ACA12BD609} - C:\WINDOWS\system32\IEFilter.dll (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~4\GHOSTS~2.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

[msc hotline sat]

Deben actualizarse los parches de MICROSOFT. Le faltan todos los del SP2 y posteriores. Lance un windowsupdate !!!



Aqui tiene varios bichos, empezando por:



C:\WINDOWS\System32\Service.exe



y terminando por el



C:\WINDOWS\System32\taskdir.exe



y que su antivirus deberia detectar, y al no hacerlo o no lo tiene residente o falta actualizarlo, REVISELO !!!







Lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX





R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =



R3 - Default URLSearchHook is missing



O2 - BHO: (no name) - {31F75A06-667B-4D7B-B59D-78ED28B4DF21} - C:\WINDOWS\System32\smwggcph.dll



O2 - BHO: CIEPl Object - {6BB18EFE-F2C7-457C-81FE-705757171FA0} - C:\WINDOWS\system32\getui.dll



O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)



O4 - HKLM\..\Run: [qxqidaaa] C:\WINDOWS\System32\qxqidaaa.exe



O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe



O4 - HKCU\..\Run: [qxqidaaa] C:\WINDOWS\System32\qxqidaaa.exe



O4 - Startup: PowerReg Scheduler.exe



O4 - Global Startup: MSWin.exe



O21 - SSODL: IEFilter - {0DCEBB4D-2EFB-45EE-98E2-A5ACA12BD609} - C:\WINDOWS\system32\IEFilter.dll (file missing)





Tras ello lancee el ELISTARA por si le elimina DLL del O20 o le pide muestras de sospechas:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





y con ellas o solo, nos envia ademas este fichero para analizarlo y eliminar los restos que hubiera creado si es el caso:



C:\WINDOWS\System32\qxqidaaa.exe





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF SARDAUKAR" y asi podremos informarle si hay alguna incidencia al respecto





saludos



ms, 2-7-2006



nota: Por ultimo, y aunque supongo que ya se lo dira el ELISTARA, tiene los serbidores de DNS apuntadando a unos maliciosos de Ukraina:



@: NASTY!!!:



285.255.112.153 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company



Sin comentarios !!!

[msc hotline sat]

Recibidas muestras no incluye las dos que pediamos



C:\WINDOWS\System32\Service.exe



C:\WINDOWS\System32\taskdir.exe



Mientras examinamos las que nos ha enviado, posteenos el contenido de C:\infosat.txt para saber si los indicados focheros que no hemos recibido ya los ha eliominado el ELISTARA, gracias



saludos



ms, 3-7-2006

[msc hotline sat]

Aparte de las que no envia , por lo que estamos pendientes del contenido de C:\INFOSAT.TXT, al analizar el GETUI.DLL nos hemos encontrado con una nueva variante del VUNDO para el que ademas del ELISTARA estamos implementando la eliminacion de su clave en el winlogon con un nuevo ELINOTIF.DLL



Esta tarde esperamos subir dichas nuevas versiones a esta web, para sus pruebas de evaluacion.



saludos



ms, 3-7-2006





nota: luego seguiremos con el analisis de las otras dos muestras, que por cierto aunque con diferente nombre, parecen identicas... ms

[msc hotline sat]

Baje el actual ELISTARA 12.00 Y el ultimo ELINOTIF.DLL a la misma carpeta, y ejecute el ELISTARA, y tras ello reinicie para proceder a la eliminacion completa de lo que tiene programado.





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp





Esperamos que detecte y elimine las muestras enviadas, si bien las dos que son iguales, no han sido consideradas malwares.



Y nos posteas el C:\infosat.txt para que veamos lo que ha hecho el ELISTARA, gracias



saludos



ms, 4-7-2006



nota: Las muestras enviadas posteriormente, que hemos recibido hoy, seran procesadas hoy e implemenradas en el proximo ELISTARA 12.01

[msc hotline sat]

Subida la nueva version del ELISTARA 12.01:



https://foros.zonavirus.com/viewtopic.php?p=61198#61198





SALUDOS



MS, 4-7-2006