Trojan.Downloader.Small.CML y CQB (SOLUCIONADO)

[Vicktorya]

Antes que nada! Hola!! un gusto entrar en este foro

para ver la posiblidad de que me puedan ayudar.

Creo que son los mas indicados, ya que mi problema es realmente

un desafio.



Resulta que instale para probar el Windows XP SP2 Extra Ligero.

Una version que anda dando vueltas por ahi de solo 400 megas.



Lo instale en una compu vieja y realmente lo encontre maravilloso

por lo que procedi a instalarlo en mi maquina diaria.



Apartir de ahi, empezaron los problemas.



Tengo el firewall Outpost en version pro, y no paro de bloquear

intentos de acceso a mi maquina. Aun habiendo Hecho todas las

actualizaciones de windows (ya que encontre como poder

lograr hacerlo original).



Despues de correr muchos antispywares como el ADWARE

que recomienda el NOD32, me acorde que el que realmente

me habia detectado un monton de cosas era el Spyware Doctor.



Cuando lo instalé me detecto un monton de bichos, pero lo mas

increible, y por eso recurro a ustedes, es esto que no se puede

quitar, ni en modo a prueba de fallos. Aparentemente es parte

del sistema.



Resultados del anᬩsis:

Anᬩsis realizado: 11/07/2006 12:00:07 a.m.

Anᬩsis detenido: 11/07/2006 12:09:16 a.m.

Objetos analizados: 91068

Objetos encontrados: 25

Encontrados y excluidos: 0

Herramientas utilizadas: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts Scanner, Browser Scanner, Browser Activity Scanner, Disk Scanner, ActiveX Scanner







Nombre de la infecci��b> Ubicaci��b> Riesgo

Trojan.Downloader.Small.CQB C:\Documents and Settings\Administrador\Configuraci��ocal\Archivos temporales de Internet\Content.IE5\9T8USR5V\bgates[1].exe Alto

Trojan.Downloader.Small.CQB C:\Documents and Settings\Administrador\Configuraci��ocal\Archivos temporales de Internet\Content.IE5\9T8USR5V\bgates[2].exe Alto

Trojan.Downloader.Small.CQB C:\WINDOWS\Temp\win78.tmp.exe Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR## Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##BPTV Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##Brnd Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##BSTV Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##Data Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##LID Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##LSTV Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##MSLIST Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##PID Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##PSTV Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##Rid Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##SCLIST Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##SSLIST Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##SSTV Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winbjt32 Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winbjt32## Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winbjt32##Asynchronous Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winbjt32##DllName Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winbjt32##Impersonate Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winbjt32##Shutdown Alto

Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winbjt32##Startup Alto





A ver que se les ocurre para poder quitar esto. Yo creo que voy

a tener que formatear todo. Pero a ver si me tienen un plan b.



Besos y gracias.

[msc hotline sat]

Pasa el LPSFIX:



[url=http://www.zonavirus.com/descargas/lsp-fix.asp][b]Descargar LSP-FIX[/b][/url]



· [url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp][b]Manual LSP-FIx[/b][/url] (Español)





y tras ello pasa el ELISTARA y acepta en eliminar temporales si te lo pregunta



Y nos informas del resultado, posteando el contenido de C:\infosat.txt



Posiblemente tengas un downloader no controlado que esta descargando bichos. A ver si lo detectamos por lo menos como sospechoso y pedimos muestra, tras lo cual opasaremos a controlar. Y si no y persisten las incidencias, lo hariamos a traves del HJT, pero lo primero es lo primero.



saludos



ms, 11-7-2006

[Vicktorya]

[quote="msc hotline sat"]Pasa el LPSFIX:



[url=http://www.zonavirus.com/descargas/lsp-fix.asp][b]Descargar LSP-FIX[/b][/url]



· [url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp][b]Manual LSP-FIx[/b][/url] (Español)





y tras ello pasa el ELISTARA y acepta en eliminar temporales si te lo pregunta



Y nos informas del resultado, posteando el contenido de C:\infosat.txt



Posiblemente tengas un downloader no controlado que esta descargando bichos. A ver si lo detectamos por lo menos como sospechoso y pedimos muestra, tras lo cual opasaremos a controlar. Y si no y persisten las incidencias, lo hariamos a traves del HJT, pero lo primero es lo primero.



saludos



ms, 11-7-2006[/quote]



Primero antes que nada MIL GRACIAS!!!!

Ahora te cuento como me fue (no muy bien).



Con el primer programa que me baje (LPSFIX), no

me encontró nada, y no me anime a tildar esa opcion

y borrar cosas que no se. Pero en primera instancia en

REMOVE estaba vacio.



Luego pase el ELISTARA y me detecto lo siguiente:



EG.DAT -> Downloader

KLG.DAT -> Downloader

WINBJT32.DLL -> BackDoor-CVT (notify)

COUNTER.EXE -> Restart

RESTART.EXE -> Restart



Me dice que no me puede reparar nada, que se va a programar

para cuando reinicie. Lo mismo que los otros programas que

luego de reiniciar sigue en lo mismo.



A ver si me podes ayudar porfissssssssssss°!!! :$



PD: Aqui dejo el log.





Tue Jul 11 16:36:48 2006

EliStartPage v12.05 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jul 11 16:39:41 2006

EliStartPage v12.05 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\XP Codec Pack\UNINSTALL.EXE --> AutoExtraible

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart

C:\WINDOWS\system32\Tools\RESTART.EXE --> Eliminado, Restart

[msc hotline sat]

El ELISTARA ha cumplido su mision y ha eliminado dos entradas



Pero dinos si persiste el problema y ademas posteanos el log del HJT y lo analizaremos:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



saludos



ms, 11-7-2006

[Elgeneroso]

:lol: Lo mismo me sucedio a mi NOD32 solo lo detectaba y lo eliminaba y volvia aparecer probe spyware doctor los eliminaba y al reiniciar sorpresa aumentaba el numero de infeccion.

Solucion Trojan Remover 6.5.0

[Vicktorya]

[quote="msc hotline sat"]El ELISTARA ha cumplido su mision y ha eliminado dos entradas



Pero dinos si persiste el problema y ademas posteanos el log del HJT y lo analizaremos:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



saludos



ms, 11-7-2006[/quote]

Ahora me parece que se quito como vos dijiste con el ELISTARA.



Mira que probe con todo he!!! windows defender, todos los

antispywares que existen y nada. No podia removerlo.



Ahora aparentemente se elimino aunque no confio mucho.

De cualquier manera dejo el log que me pediste a ver si

me encontras algo.



C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ewido anti-spyware 4.0\guard.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\ewido anti-spyware 4.0\ewido.exe

C:\Archivos de programa\Windows Defender\MSASCui.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Archivos de programa\SEC\Natural Color\NaturalColorLoad.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~2\tools\iesdsg.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~2\tools\iesdpb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=072606 serial=DR12WEX-1504397-KTY lang=ES

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe

O4 - Global Startup: NaturalColorLoad.lnk = ?

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~2\tools\iesdpb.dll

O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152337822421

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152341298515

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\Agnitum\OUTPOS~1\wl_hook.dll

O20 - Winlogon Notify: SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Archivos de programa\ewido anti-spyware 4.0\guard.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Archivos de programa\Microsoft Private Folder 1.0\PrfldSvc.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

[Vicktorya]

[quote="Elgeneroso"]:lol: Lo mismo me sucedio a mi NOD32 solo lo detectaba y lo eliminaba y volvia aparecer probe spyware doctor los eliminaba y al reiniciar sorpresa aumentaba el numero de infeccion.

Solucion Trojan Remover 6.5.0[/quote]

Me lo baje y no me encontro nada por el momento. :)

Pero es como decias, cada vez que reiniciaba aparecia mas y mas!

[msc hotline sat]

El log del HJT está limpio (pero otra vez debe postearlo completo, la cabecera nos informa de datos importantes, version sistema, parches instalados, etc)



Ya con lo visto e indicado entendemos solucionado el problema y procedemos a cerrar el Tema



saludos



ms, 12-7-2006