Necesito Ayuda: "Your Computer is Infected" (SOLUC

[MaaG]

Logfile of HijackThis v1.99.1

Scan saved at 11:13:27, on 05-07-2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\HbTools\Bin\4.7.0.0\HbtOEAddOn.exe

C:\WINDOWS\logon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\winstall.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\HbTools\Bin\4.7.0.0\HbtSrv.exe

C:\Documents and Settings\Secretaria\Escritorio\DAT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.corpocas.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Archivos de programa\HbTools\Bin\4.7.0.0\HbtHostIE.dll

O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Archivos de programa\HbTools\Bin\4.7.0.0\HbtHostIE.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HbTools] C:\Archivos de programa\HbTools\Bin\4.7.0.0\HbtOEAddOn.exe

O4 - HKLM\..\Run: [jfqbmmtz] C:\WINDOWS\system32\lrnyjpls.exe

O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WinFixer2005] "C:\Archivos de programa\WinFixer 2005\uwfx5.exe" /min

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int13.exe

O16 - DPF: {00000000-0000-0000-0000-000020060000} - http://207.234.185.217/ABoxInst_int12.exe

O16 - DPF: {00000000-0000-0000-0000-000050050000} - http://www.advnt01.com/games/ABoxInst_int12.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} (OCXDownloadChecker Control) - http://192.168.1.249/cab/OCXChecker_6100.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://l00kl23.com/default.cab?uid=87&id=30651&1s&ex&ppd=4&tag=38

O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/int_ver34.CAB

O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} (DownloadFile Control) - http://192.168.1.249/cab/DownloadFile_6100.cab

O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Seekmo/ie/bridge-c18.cab?21595a55bcee9e87edbc49d34614c0b550c9fbe341f06435b5679f367af25f7d532a4ca9c2ed59d9dc488aec24dcc5a5ba1e1fb10f8e34f82eba6f77b8d60c7f73d695c54c:584e34bcf0567f47bece5b5b666353a7

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4B3C1EAF-1D26-402B-8D15-AA1779A2B3FB}: NameServer = 216.155.73.40,216.155.73.41

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

[msc hotline sat]

Tienes el troyano SpySheriff instalado



Prieba el ELISTARA uy sigue sus instrucciones



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Aparte elimina estas claves:



O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://l00kl23.com/default.cab?uid=87&id=30651&1s&ex&ppd=4&tag=38



O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/int_ver34.CAB





Y finalmente reinicia y posteanos el contenido de C:\Infosat.txt para ver lo que detectado



saludos



ms, 5.7.2006

[MaaG]

Wed Jul 05 17:01:51 2006

EliStartPage v12.02 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINSTALL.EXE --> Eliminado DownLoader.AFH

C:\ARCHIVOS DE PROGRAMA\HBTOOLS\BIN\4.7.0.0\HBTHOSTIE.DLL --> Eliminado Hotbar (BHO)

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\WINANTIVIRUS PRO 2006\WAPCHK.DLL --> Eliminado WinAntiVirus Pro 2006

C:\Documents and Settings\Secretaria\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "Windows Installer"="C:\winstall.exe"

Eliminada Class, "{66B90ADB-0BE3-40AE-8680-84A6F0577CA0}" -> C:\Archivos de programa\HbTools\Bin\4.7.0.0\HbtHostIE.dll

Eliminada Class, "{74CC49F7-EB32-4A08-B204-948962A6E3DB}" -> C:\Archivos de programa\HbTools\Bin\4.7.0.0\HbtHostIE.dll

Eliminada Class, "{7E66936C-FEA0-4984-AD26-7B6661AC5B2E}" -> C:\Archivos de programa\HbTools\Bin\4.7.0.0\HbtHostIE.dll

Eliminada Class, "{A798E2B4-B6A0-4B96-8C53-8EC7A3B0895A}" -> C:\Archivos de programa\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

Eliminada Class, "{B2A3156E-3332-4b47-AF5A-5B121503514F}" -> C:\Archivos de programa\Archivos comunes\WinAntiVirus Pro 2006\WapCHK.dll

Eliminada Class, "{DECEAAA2-370A-49bb-9362-68C3A58DDC62}" -> C:\WINDOWS\Downloaded Program Files\SAIX.dll

Eliminada Class, "{ED8525EA-2BFC-4440-BD8A-20EFB9D5E541}" -> C:\Archivos de programa\HbTools\Bin\4.7.0.0\HbtHostIE.dll

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Archivos de Programa%\ErrorSafe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jul 05 17:04:26 2006

EliStartPage v12.02 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\Downloaded Program Files\INT_VER34.OCX --> Eliminado, Justificacion

C:\Archivos de programa\Archivos comunes\ErrorSafe\PCHECK.DLL --> Eliminado, WinAntiVirus Pro 2006

C:\Archivos de programa\Archivos comunes\WinFixer 2005\FCRXML.DLL --> Eliminado, WinFixer 2005

C:\Archivos de programa\Archivos comunes\WinFixer 2005\UWAPPCHK.DLL --> Eliminado, ErrorSafe

C:\System Volume Information\_restore{737FAC29-78F6-4EBE-BDD4-A8F5DD8B14A7}\RP416\A0160228.CPL --> Eliminado, WinAntiVirus Pro 2006 (cpl)

C:\System Volume Information\_restore{737FAC29-78F6-4EBE-BDD4-A8F5DD8B14A7}\RP416\A0160245.DLL --> Eliminado, WinAntiVirus Pro 2006 (BHO)

C:\System Volume Information\_restore{737FAC29-78F6-4EBE-BDD4-A8F5DD8B14A7}\RP416\A0160247.DLL --> Eliminado, WinAntiVirus Pro 2006

C:\System Volume Information\_restore{737FAC29-78F6-4EBE-BDD4-A8F5DD8B14A7}\RP418\A0160328.EXE --> Eliminado, DownLoader.AFH

C:\System Volume Information\_restore{737FAC29-78F6-4EBE-BDD4-A8F5DD8B14A7}\RP418\A0160329.DLL --> Eliminado, Hotbar (BHO)

C:\System Volume Information\_restore{737FAC29-78F6-4EBE-BDD4-A8F5DD8B14A7}\RP418\A0160330.DLL --> Eliminado, WinAntiVirus Pro 2006

C:\System Volume Information\_restore{737FAC29-78F6-4EBE-BDD4-A8F5DD8B14A7}\RP418\A0160357.DLL --> Eliminado, WinAntiVirus Pro 2006

C:\System Volume Information\_restore{737FAC29-78F6-4EBE-BDD4-A8F5DD8B14A7}\RP418\A0160358.DLL --> Eliminado, WinFixer 2005

C:\System Volume Information\_restore{737FAC29-78F6-4EBE-BDD4-A8F5DD8B14A7}\RP418\A0160359.DLL --> Eliminado, ErrorSafe

[MaaG]

Muy agradecido! ojala el usuario no meta la pata de nuevo, es primera vez que me tomo con este caso! si falta corregir algo mas, porfavor me posteas de nuevo porfavor!



Coordiales Saludos!

[msc hotline sat]

Eliminados los bichos !



Solucionado el problema, procedemos a cerrar el Tema.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 6-7-2006