El problema de siempre!!!!! * [AV, DPF, XXXX] (SOLUCIONADO)

[Vayapelaso]

BUenas... Llevo bastantes dias intententando desinfectar este maldito ordenador y, la verdad, me resulta imposible.

Sin dar rodeos os cuento directamente mi problema...

cuando abro el adm. de tareas de windows, entre otros muchos procesos que desconozco, aparecen dos bastante sospechosos: 2802cc96.exe y aa686e07.exe.

Cuando trato de eliminarlos, 1º termino el proceso y luego lo elimino de system32. Pero hay es cuando me doy cuenta de que,al menos, uno de ellos es un virus; me salta una alerta del NOD32 diciendo que ese archivo, q ademas tambien esta en en c:/docum. and set.../vayapelaso/configuracionlocal/datos de programas, trata de crear una aplicacion o algo asi...

Esta antivirus junto con el pccilin, el spybots&d y el spywareblaster son lo q me protegen. Actualmente he eliminado bastantes "cosas malas" pero creo que con eliminarlas no es suficiente.

Como ve que en muchas ocasiones pedis un archivo del hijackthis, tambien os lo mando:



Logfile of HijackThis v1.99.1

Scan saved at 23:02:44, on 13/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Apoint2K\Apoint.exe

C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\Archivos de programa\Hp\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe

C:\Archivos de programa\Trend Micro\Internet Security 12\pccguide.exe

C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

C:\WINDOWS\system32\aa686e07.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\2802cc96.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Apoint2K\Apntex.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE

C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q305&bd=presario&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q305&bd=presario&pf=laptop

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q305&bd=presario&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: AmsServer

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {A4F94C0C-54A7-4DB1-9AF3-B22E63D00306} - (no file)

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security 12\pccguide.exe"

O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [aa686e07.exe] C:\WINDOWS\system32\aa686e07.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [2802cc96.exe] C:\WINDOWS\system32\2802cc96.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [2802cc96.exe] C:\Documents and Settings\VayaPelaso\Configuración local\Datos de programa\2802cc96.exe

O4 - HKCU\..\Run: [aa686e07.exe] C:\Documents and Settings\VayaPelaso\Configuración local\Datos de programa\aa686e07.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Startup: .protected

O4 - Global Startup: .protected

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Archivos de programa\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Archivos de programa\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q305&bd=presario&pf=laptop

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {97B79133-88F0-45F0-8D57-0F2EF27D9C66} - http://85.255.114.166/1/rdgES2404.exe

O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/errorsafe.com/www/pages/scanner_es/ErrorSafeScannerInstall_es.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8A6B4465-E9F8-4CC2-BDC9-F845C3641FCE}: NameServer = 195.235.113.3,194.224.52.4

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

O20 - Winlogon Notify: cfgmngr32 - C:\WINDOWS\g16859062.dll (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: winccf32 - winccf32.dll (file missing)

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe



Espero que podais ayudarme... Gracias de todas formas...Un saludo.



Vayapelaso

[msc hotline sat]

Tienes instalados NOD32 y Trend. No debe haber mas que uno, desinstala el otro !!!





Envianos muestra de:



C:\WINDOWS\system32\aa686e07.exe



C:\WINDOWS\system32\2802cc96.exe



Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF Vayapelaso" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Elimina estas claves:



Lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:





O2 - BHO: (no name) - {A4F94C0C-54A7-4DB1-9AF3-B22E63D00306} - (no file)



O4 - HKLM\..\Run: [aa686e07.exe] C:\WINDOWS\system32\aa686e07.exe



O4 - HKLM\..\Run: [2802cc96.exe] C:\WINDOWS\system32\2802cc96.exe



O4 - HKCU\..\Run: [2802cc96.exe] C:\Documents and Settings\VayaPelaso\Configuración local\Datos de programa\2802cc96.exe



O4 - HKCU\..\Run: [aa686e07.exe] C:\Documents and Settings\VayaPelaso\Configuración local\Datos de programa\aa686e07.exe



O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Archivos de programa\ICQLite\ICQLite.exe (file missing)



O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Archivos de programa\ICQLite\ICQLite.exe (file missing)



O16 - DPF: {97B79133-88F0-45F0-8D57-0F2EF27D9C66} - http://85.255.114.166/1/rdgES2404.exe



O20 - Winlogon Notify: cfgmngr32 - C:\WINDOWS\g16859062.dll (file missing)



O20 - Winlogon Notify: winccf32 - winccf32.dll (file missing)







Cuando recibamos las muestras, las examinaremos e informaremos



saludos





ms, 14-7-20

[msc hotline sat]

A pesar de no haber recibido las muestras, en la nueva version 12.09 del ELISTARA hemos incluido la eliminacion de la clave O16 DPF que descarga el malware RDGES2404.exe:

http://www.zonavirus.com/descargas/elistara.asp

Pruebela ademas de enviarnois las muestras !

saludos

ms, 14-7-2006

[msc hotline sat]

Recibida muestra, resulta ser un downloader que pasamos a controlar desde version 12.11 del ELISTARA de esta tarde



saludos



ms, 18-6-2006

[msc hotline sat]

Subida la version 12.11 del ELISTARA qie controla y elimina la variante de la muestra enviada



Pruebela y nos comenta el resultado, gracias



saludps



ms, 18-7-2006

[Vayapelaso]

Parece, en principio, que la version 12.11 ha funciondado... de todas formas ya os ire contando las futuras incidencias...Solo me queda una duda...saber que antivirus me recomendais: tengo el pccilin con licencia de la universidad de vigo y el nod 32 que, aparentemente, se actualiza solo cual pues??? o tal vez el avg o agv que teneis para descargar en la pagina....???



Muchas gracias por decicarme vuestro tiempo y seguid asi; estais haciendo un buen trabajo.



Un saludo...VAYAPELASO!!!!!!

[msc hotline sat]

Cualquier antivirus que se actualice autimaticamente le ira bien, pero para gustos:







Nosotros usamos McAfee por ser el lider mundial, con mas experiencia y estructura de soporte tecnico



Y celebramos su exito, y solucionado el problema, procedemos a cerrar el Tema.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 19-7-2006