Problema con posible Virus

juanki02 · Mensaje por **juanki02** » 27 Ago 2006, 11:23

Hola!

Hace unos dias gracias a los programas ELISTARA y ELITRIP y sobretodo los fantásticos consejos de los administradores pude solucionar un problema con un virus en mi PC.

Aún así parece que desde entonces mi ordenador tiene algunos comportamientos extraños,no funciona como antes,

para empezar (y no se si esto tiene que ver con un posible virus) la CPU hace un ruido horrible, cuando la arranco el "run run" es bastante molesto, y durante todo el rato, en muchas ocasiones esto hace que el ordenador se apague, es como si se sobrecalentara aunque el ventilador funciona. (he leido el post sobre "las siete razones por las que un ordenador se apaga" no se si alguna coincide conmigo..y lo mas importante, hay alguna manera de saberlo sin llamar a un técnico?)

la otra cuestión es que el norton me enseña un mensaje que dice "se ha bloqueado una intrusión remota" al abrir el cartelito me dice que un tal PORTSCAN intenta entrar en mi ordenador a través de los puertos 1072 y 1078.

Entiendo que si Norton ha bloqueado esta acción es porque no ha dejado pasar a nadie pero, hay alguna manera de acabar con estas intrusiones?

cuando paso Elistara y Elitrip no me encuentra nada, en cambio Norton si encuentra un archivo que aunque no es un virus dice que puede ser peligroso para la seguridad del PC (siempre que lo encuentra lo elimino manualmente)

el verdadero problema con estos mensajes es que desde que me aparecen no puedo entrar en internet hasta al menos 20 minutos después de encender el ordenador, mi conexión a internet va perfectamente pues otros programas que dependen de ella funcionan, pero lo que es el IE no va (hasta pasado ese tiempo, luego todo bien)

acabo de pasar el ELISTARA y este es el informe:

[i] Sun Aug 27 10:20:02 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\SOFTWARE SIN INSTALAR\WINAMP508E_FULL_EMUSIC-7PLUS.EXE --> AutoExtraible[/i]

calandracas · Mensaje por **calandracas** » 27 Ago 2006, 13:02

lo del ruido y q se t apague es un claro caso d temperatura, algun ventilador no t va bien, mira tu temperatura con el aida32

Mensaje por **msc hotline sat** » 27 Ago 2006, 13:34

Posteanos la temperatura de la CPU:

_________

AIDA32 (EVEREST)

http://www.zonavirus.com/datos/descargas/28/EVEREST_Home_Edition.asp

_________

y lanzalo y selecciona Ordenador -> Sensor

saludos

ms, 27-8-2006

juanki02 · Mensaje por **juanki02** » 27 Ago 2006, 21:08

Vale, gracias, he pasado el Aida y pone lo siguiente:

TEMPERATURAS:

Placa madre: 40 ºC (108 ºF)

Procesador : 60ºC (140ºC)

Seagate ST340016A: 43ºC (109ºC)

Seagate ST 380021A: 41ºC (106ºC)

VENTILADORES:

Procesador: 2961 RPM

VALORES DE VOLTAJE:

Nucleo CPU: 1.58V

+2.5 V: 2.51 V

+3.3 V: 3.31V

+5V: 5.08V

+12V: 12.42V

pausa en espera +5V: 5.00V

bateria VBat: 2.03V

Esto es lo que sale, a ver que os parece.

Mensaje por **msc hotline sat** » 27 Ago 2006, 21:36

Efectivamente, estas "pasado de vueltas" !!!

Mas de 55 ºC es forzar la CPU con el riesgo de dañarla y procesar erroneamente.

revisa el ventilador de la misma, comprueba que gire, limpialo, mira que el extractor de la fuente funcione y expulse aire sin obstaculos, y coloque el ordenador en un sitio fresco ...

Tras ello cuentenos el resultado, gracias

saludos

ms, 27-8-2006

juanki02 · Mensaje por **juanki02** » 30 Ago 2006, 13:07

Hola!

estoy aqui de nuevo, seguí vuestro consejo, limpié a fondo el ordenador por dentro y parece que le ha ido muy bien pues no hace tanto ruido como antes.

El problema parece ser que cuando se arregla una cosa se estropea otra.

Vereis tal y como explicaba en mi primer mensaje después de eliminar un virus que me entró hace una semana el PC no rinde igual,he pasado ELISTARA y ELITRIP y no encuentra nada, aún así cuando reinicio el ordenador SIEMPRE me sale este mensaje:

-[i]Comprobando el sistema de archivos en F:

- uno de los discos necesita ser comprovado para ver coherencias[/i]

este mensaje sale sobre una pantalla azul antes de que se inicie windows, normalmente dejo que compruebe los discos, no encuentra nada y se inicia windows, pero es que no se bien que significa y porqué sale.

Ayer el norton detectó el trojan.anserin y creo que lo eliminó de la maquina (elistara y elitrip no lo encontró)

y luego otra cosilla que me tiene mas preocupado, cuando reproduzco una canción en el PC suena relentizada y con micro cortes, como si le costara arrancar, trabajo mucho con programas de sonido así que esto me está fastidiando bastante.

bueno, son muchas cosas y no se si realmente unas tienen que ver con las otras, espero no marearos demasiado y podais ayudarme.

gracias!

Mensaje por **msc hotline sat** » 30 Ago 2006, 14:19

Solucionado el problema de hardware, vamos a por el software.

Podrias tener tritanos no controlados.

posteanos un log del HJT y lo analizaremos:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

saludos

ms, 30-8-2006

juanki02 · Mensaje por **juanki02** » 30 Ago 2006, 15:08

OK! Gracias por la rapidez, he hecho lo que me has pedido y este es el resultado:

Logfile of HijackThis v1.99.1

Scan saved at 15:09:25, on 30/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\TerraTec\DMX 6fire\DMX6Fire.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Ahead\Nero\nero.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HIJACKTHIS\HijackThis.exe

C:\Archivos de programa\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.searching-4u.com/search_page.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 38.115.131.131 sk2.slsk.org

O1 - Hosts: 38.115.131.131 http://www.slsk.org

O1 - Hosts: 38.115.131.131 mail.slsk.org

O1 - Hosts: 38.115.131.131 server.slsk.org

O1 - Hosts: 38.115.131.131 sk2.slsk.org

O1 - Hosts: 38.115.131.131 http://www.slsk.org

O1 - Hosts: 38.115.131.131 mail.slsk.org

O1 - Hosts: 38.115.131.131 server.slsk.org

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe

O4 - HKLM\..\Run: [zINDX(

Mensaje por **msc hotline sat** » 30 Ago 2006, 16:11

El log es demasiado corto para estar completo, pero con lo poco que has posteado hay dos puntos malwares: El grupo O1 con el HOSTS redireccionando webs a una URL y esta clave que lanza un virus COSIAM desde:

O4 - HKLM\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe

Lanza el HJT, marca la casilla de la izquierda de estas claves y eliminalas con FIX CHECKED :

O1 - Hosts: 38.115.131.131 sk2.slsk.org

O1 - Hosts: 38.115.131.131 http://www.slsk.org

O1 - Hosts: 38.115.131.131 mail.slsk.org

O1 - Hosts: 38.115.131.131 server.slsk.org

O1 - Hosts: 38.115.131.131 sk2.slsk.org

O1 - Hosts: 38.115.131.131 http://www.slsk.org

O1 - Hosts: 38.115.131.131 mail.slsk.org

O1 - Hosts: 38.115.131.131 server.slsk.org

O4 - HKLM\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe

Luego esta tarde, baja la nueva version 12.25 del ELISTARA y tras ejecutarla, reinicias y nos posteas el contenido del C:\infosat.txt, gracias

saludos

ms, 30-8-2006

juanki02 · Mensaje por **juanki02** » 30 Ago 2006, 19:36

Hola, ya estoy aqui de nuevo!

Antes de nada (aunque ya estareis acostumbrados a leerlo) quisiera agradecer la ayuda que estoy recibiendo por parte de todo el staff de zona virus, sois increibles!

Tal y como me pediste eliminé a través del HJT las entradas señaladas, actualicé el ELISTARA y lo volví a pasar.

Lo primero que me encontró fué STONEDRV.EXE

este es el infosat:

[i] Wed Aug 30 19:06:26 2006

EliStartPage v12.25 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\INISTONE.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "stonedrv"="c:\windows\system32\stonedrv.exe"

Entrada Eliminada [HKLM\...\RunServices] "stonedrv"="c:\windows\system32\stonedrv.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Aug 30 19:07:03 2006

EliStartPage v12.25 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\!KillBox\STONEDRV.EXE --> Eliminado, Proxy-Raser

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\SOFTWARE SIN INSTALAR\WINAMP508E_FULL_EMUSIC-7PLUS.EXE --> AutoExtraible[/i]

Al reiniciar me ha vuelto a salir el mensaje "[i]comprovando el sistema de archivos en F..."[/i] eso no se a que se debe y si lo puedo solucionar.

Tras reiniciar el PC he notado que el problema que tenía con el sonido tambien ha desaparecido, ¿el tal Stonedrv tenia la culpa?

Gracias por la ayuda, si creeis conveniente cerrar este post me gustar´´ia que me explicarais a nivel de usuario que es lo que le pasaba a mi PC para tener todos estos problemas, así ´lo iré entendiendo todo poco a poco y la próxima vez pueda sacar conclusiones yo mismo.

el problema con la relentización del sonido lo provocaba stonedrv?

supongo que todos estos "bichos" se quedaron en el pc después del virus que me entró hace unos dias pero..puede quedar alguno mas?

bueno, a ver si encontramos respuesta, gracias!

Mensaje por **msc hotline sat** » 30 Ago 2006, 20:04

Efectivamente, los malwares residentes consumen CPU y ralentizan el sistema, llegando a veces a bloquear aplicaciones por colision entre residentes.

La nueva version del ELISTARA ha yetminado de eliminar las claves del COSIAM (stonedrv.exe) debido a que el log que nos `psteó no estaba completo y no presentaba ,as que parte de los 4 primeros grupos, cuando normalmente el HJT persenta 23, u su bien ha eliminado los troyanos conocidos, puede tebner algo mas en el resto del informe, por lo que le sugiero nos vuelva a postear log actual y completo del HJT y lo analizaremos para asegurarnos que no haya nada mas...

Ya sabe, lanzar el HJT y copiar/pegarnos el nuevo log

Y si ya no queda nada malware, lo celebraremos y daremos por solucionado el Tema, pero en cualquier caso le informaremos

saludos

ms, 30-8-2006

Mensaje por **msc hotline sat** » 30 Ago 2006, 20:49

Por la informacion del infosat.txt

[quote]
Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\INISTONE.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "stonedrv"="c:\windows\system32\stonedrv.exe"

Entrada Eliminada [HKLM\...\RunServices] "stonedrv"="c:\windows\system32\stonedrv.exe"
[/quote]

podemois decirle que esta variante es la del COSIAM-L, segun descripcion en:

http://www.sophos.com/security/analyses/trojcosiaml.html

Dentro de dicha paguna pulse en ADVANCED para ver mas informacion

Pero sirva esta informaicon para saber que es un troyano que abre una puerta trasera que permite a su creador controlar remotamente los ordenadores infectados. Claro que le iba lento ... ! es que la CPU trabajaba para los dos...

Aparte de postearnos el nuevo log, ya nos dirá como le va...

saludos

ms, 30-8-2006

Nota: y calentito: descubierto en "21 August 2006 14:48:54 (GMT) "

juanki02 · Mensaje por **juanki02** » 31 Ago 2006, 00:10

Hola!

Gracias por toda la información.

Después de la última desinfección he estado trabajando con audio y todo perfecto, no he notado el mas leve problema, espero y deseo haber acabado con ese intruso, aún así y tal y como me pedían he vuelto a actualizar el log, aqui está:

Logfile of HijackThis v1.99.1

Scan saved at 00:08:36, on 31/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\TerraTec\DMX 6fire\DMX6Fire.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\HIJACKTHIS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.searching-4u.com/search_page.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [startpage] c:\startpage.exe

O4 - HKLM\..\Run: [Rundll32] c:\windows\system32\RUNDDLL32.exe

O4 - HKLM\..\Run: [rpcc] rpcc.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe"

O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [bitagbzz] C:\WINDOWS\System32\lfdjkgav.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Erotic - {8E65B894-C2E9-11D5-BCD3-00E018987517} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\sophie-kazemule\local.htm (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .mpg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .VOB: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab

O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{056C0515-739A-4FDA-BA09-05B189DFFBFC}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS1\Services\Tcpip\..\{056C0515-739A-4FDA-BA09-05B189DFFBFC}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS2\Services\Tcpip\..\{056C0515-739A-4FDA-BA09-05B189DFFBFC}: NameServer = 194.179.1.100,194.179.1.101

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Mensaje por **msc hotline sat** » 31 Ago 2006, 08:17

Pues menos mal que nos ha posteado el log completo !!!

elimine estas claves !!!

O4 - HKLM\..\Run: [startpage] c:\startpage.exe

O4 - HKLM\..\Run: [Rundll32] c:\windows\system32\RUNDDLL32.exe

O4 - HKLM\..\Run: [rpcc] rpcc.exe

Y envienos estos ficheros que lanzan, pero cuidado, fifese que umo de ellos es RUNDDL32 no RUNDLL32 que es normal !

y recuerde:

SOLICITUD DE MUESTRAS

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

______________________________________

ELIMINACION DE CLAVES CON HJT

Lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:

saludos

ms, 31-8-2006

Info sobre el rpcc.exe: http://www.bleepingcomputer.com/startups/rpcc-14840.html (es un downloader que baja troyanos)

Info sobre el RUNDDLL32.EXE : http://www.bleepingcomputer.com/startups/Runddll32.exe-14279.html (es un robapasswords)

Info sobre STARTPAGE.EXE: http://www.bleepingcomputer.com/startups/startpage.exe-5213.html (Cambia pagina de inicio del navegador)

ms.

juanki02 · Mensaje por **juanki02** » 31 Ago 2006, 16:51

Vale hecho!

ya he eliminado las claves pero hay una cosa que no entiendo..

[i]Y envienos estos ficheros que lanzan, pero cuidado, fifese que umo de ellos es RUNDDL32 no RUNDLL32 que es normal !

[/i]

he eliminado las tres entradas que apuntaban, ahora que es lo que les tengo que enviar? como anexo una muestra?

gracias.

he pasado de nuevo el HJT:

Logfile of HijackThis v1.99.1

Scan saved at 16:53:47, on 31/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\TerraTec\DMX 6fire\DMX6Fire.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\HIJACKTHIS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.searching-4u.com/search_page.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe"

O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [bitagbzz] C:\WINDOWS\System32\lfdjkgav.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Erotic - {8E65B894-C2E9-11D5-BCD3-00E018987517} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\sophie-kazemule\local.htm (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .mpg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .VOB: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab

O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{056C0515-739A-4FDA-BA09-05B189DFFBFC}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS1\Services\Tcpip\..\{056C0515-739A-4FDA-BA09-05B189DFFBFC}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS2\Services\Tcpip\..\{056C0515-739A-4FDA-BA09-05B189DFFBFC}: NameServer = 194.179.1.100,194.179.1.101

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Microspolla · Mensaje por **Microspolla** » 31 Ago 2006, 17:12

:idea: :idea: :idea:

:evil: Por favor se me a instalado un programa de esos de pubicidad que te canbian la pajina de busqueda principal me borra achivos me sale en la barra de tareas en el reloj un simbolo e ke tengo virus de fondo de pantalla tengo una como pajina web que me dice que tengo virus etc.... POR FAVOR AYUDENMEE!!!! :!: :!: :!:

:!: --->detalles de mi pc<-- :!:

:arrow: INTERNET EXPLORER 6.0

:arrow: WINDOWS XP . 5.1

:arrow: INTERNET DE RED WIRELES POR USB

:arrow: MEMORIA DE 512

:arrow: MEMORIA DE GRAFICA 28 (me da asta verguenza xD)

:arrow: y dare mas si me lo pedis por fa vor ayudenme.....!!

Mensaje por **msc hotline sat** » 31 Ago 2006, 17:58

Envienos estas tres muestras:

c:\startpage.exe

c:\windows\system32\RUNDDLL32.exe

O4 - HKLM\..\Run: [startpage] c:\startpage.exe

O4 - HKLM\..\Run: [Rundll32] c:\windows\system32\RUNDDLL32.exe

rpcc.exe

Y le decia que cuidado no se confundiera entre los dos ficheros de nombre parecido: El bicho es con dos letras "d" (RUNDDL32) , mientras que existe otro bueno del sistema con solo una letra " d" ,(RUNDLL32) , hecho con toda la picardia para despistar...

saludos

ms, 31-8-2006

Mensaje por **msc hotline sat** » 31 Ago 2006, 18:10

Y para Microspolla: Debería haber editado un post nuevo para su caso, aqui no tiene relacion...

De todas formas pruebe el ELISTARA :

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Y si tiene algo que decir, no lo haga en este, hagalo en uno exprofeso contandonos lo que hace al caso, gracias

saludos

ms, 31-8-2006

juanki02 · Mensaje por **juanki02** » 31 Ago 2006, 18:18

siento parecer tan extremadamente lerdo, pero es que no tengo ni idea de como tengo que enviar esas muestras, se supone que he de buscar esas entradas en mi pc y adjuntarlas en un mail como si se tratara de un archivo?

en tal caso he buscado algunas en C: y no las encuentro.

después de la última acción que me señalaron he reiniciado y he vuelto a pasar HJT:

Logfile of HijackThis v1.99.1

Scan saved at 18:12:00, on 31/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\TerraTec\DMX 6fire\DMX6Fire.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HIJACKTHIS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.searching-4u.com/search_page.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe"

O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [bitagbzz] C:\WINDOWS\System32\lfdjkgav.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Erotic - {8E65B894-C2E9-11D5-BCD3-00E018987517} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\sophie-kazemule\local.htm (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .mpg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .VOB: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab

O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{056C0515-739A-4FDA-BA09-05B189DFFBFC}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS1\Services\Tcpip\..\{056C0515-739A-4FDA-BA09-05B189DFFBFC}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS2\Services\Tcpip\..\{056C0515-739A-4FDA-BA09-05B189DFFBFC}: NameServer = 194.179.1.100,194.179.1.101

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

~~[b]~~MIL GRACIAS[/b]

Mensaje por **msc hotline sat** » 31 Ago 2006, 18:26

NO HIMBRE, NO !!! Nos has de enviar copia de los archivos, esto es anexar los archivos que te indicamos al mail, para poder analizarlos

Luego analizo tu nuevo log, que he visto por encima entradas malas...

saludos

ms, 31-8-2006

juanki02 · Mensaje por **juanki02** » 31 Ago 2006, 18:38

lo siento, no puedo anexar nada al mail pues no encuentro esas entradas, lo siento.

a ver cuales son esas nuevas que ves por ahí.

Mensaje por **msc hotline sat** » 31 Ago 2006, 19:21

Quizas ya los borró alguna utilidad que pasó anteriormente... Lástima porque asi hubieramos podidoi implenentar su control para el futuro, pero si ya no están, ya no afectan.

Elimine esta clave :

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\sophie-kazemule\local.htm (file missing)

y diganos si sabe de donde sale esta clave que deja residente el fichero que lanza:

O4 - HKLM\..\Run: [bitagbzz] C:\WINDOWS\System32\lfdjkgav.exe

y si no lo sabe, envienos el fichero en cuestion, que esta vez lo tenía cuando lanzó el HJT :

C:\WINDOWS\System32\lfdjkgav.exe

Y tras analizarlo, informaremos...

saludos

ms, 31-8-2006

juanki02 · Mensaje por **juanki02** » 31 Ago 2006, 19:54

He eliminado la primera entrada pero con la segunda me pasa una cosa muy rara, cuando la busco en C:\WINDOWS\System32 para anexarla al mail no la encuentro, es decir no existe en esta carpeta, en cambio si paso el HJT vuelve a aparecer como

O4 - HKLM\..\Run: [bitagbzz] C:\WINDOWS\System32\lfdjkgav.exe

es posible que esté oculta de alguna manera?

Mensaje por **msc hotline sat** » 31 Ago 2006, 20:25

No es raro, piuede ser que sea un fichero oculto o con atributos de sistema y windows ni lo muestre. Configura windows para que muestre estos archivos..

O puede ser un rootkit que no deje ver ciertos ficheros que estan en uso...

Para solucionarlo, arranva con el CD de instalacion, en consola de recuperacion. ve al directorio de siustema con CD \windows\system32 y una vez alli ejecuta ATTRIB seguido del nombre dek fuchero y te dirá si está y sus atributos:

ATTRIB lfdjkgav.exe

Pero si no dominas el MSDOS, mejor que te busques un amigo que lo conozca, sino te aburrirás ...

La cuestión es que nos envies este fichero para poder analizarlo y ayudarte

saludos

ms, 31-8-2006

juanki02 · Mensaje por **juanki02** » 31 Ago 2006, 21:22

¿porque eliminar esta entrada desde HJT no es una buena opción?

es que no tengo el cd de instalación pues un técnico me instaló el sistema operativo y se quedó el cd,y mis amigos estan casi tan pez como yo en el tema informática.

entonces, puede pasar algo si lo elimino desde HJT o es imprecindible enviaros una muestra?

Mensaje por **msc hotline sat** » 31 Ago 2006, 21:44

A ver, lo que queremos es la muestra del fichero, la clave la eliminaremos su es nalware, si no no !!!

ms,

juanki02 · Mensaje por **juanki02** » 01 Sep 2006, 00:25

pues sinceramente veo dificil solucionar mi problema si he de enviar una muestra de un archivo que no encuentro.

por desgracia tampoco conozco a nadie que pueda ayudarme a traves de msdos,aún así gracias por todo.

Mensaje por **msc hotline sat** » 01 Sep 2006, 07:38

Si se ve vcapaz hagalo Vd, empiuexe por arrancar con el CD de insytalacion y avvedfa a consola de recuperacion y una vez alli, con CD (Change Directory) cambie al sirectyorio de sistema C:\windows\system32

Cuando llegue seguiremos con lo del ATTRIB y vistos los atributos los sacatemos para poder copiar el fichero a un disquete, desde donde poder anexarlo a un mail

saludos

ms, 1-9-2006

Problema con posible Virus

Problema con posible Virus

AYUDA y ayudas para los que tienen este problema por favor..