¿Tengo un troyano o qué? (SOLUCIONADO)

[Huno]

Hola:

Hace menos de una semana, en cuanto me instalaron ono, me saltó una advertencia del AVG de la presencia de un troyano. Pensé que lo había eliminado, pero el ordenata no paraba de dar problemas, sobre todo con los navegadores (no encontraban páginas y tal). Pasé el XP al modo seguro, habiendo desactivado lo de restaurar sistema, y el AVG me detectó el Trojan Horse Generic2. También le pasé el Elistar y me detectó un gusano de cuyo nombre no me acuerdo.
Aparentemente el AVG los elimina, pero cada vez que quiero ver mis videos, por ejemplo, me sale el cartelito: "EXLORER EXE ha detectado un problema y debe cerrarse". Con lo cual no puedo editar video.
Aquí está el log que acabo de hacer con el Hicjack:

Logfile of HijackThis v1.99.1
Scan saved at 22:32:37, on 10/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Archivos comunes\ACD Systems\ES\DevDetect.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\Javier\CONFIG~1\Temp\Rar$EX00.422\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Archivos de programa\Power Translator\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Device Detector] "C:\Archivos de programa\Archivos comunes\ACD Systems\ES\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Archivos de programa\webHancer\Programs\whsurvey.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154620235937
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ayuda, por favor. Y gracias.

[novatillo]

Pues ya que pasaste elistara postea tambien el contenido de C:/infosat.txt que es un documento que crea elistara a ver que dice.

Ademas arranca en modo seguro y marcas estas casillas y le das a fix para eliminarlas.



O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net







Saludos.

[msc hotline sat]

Ojo novatillo, los O10 mejor deben solucionarse con el LPSFIX, no eliminando las claves :

· Ver viewtopic.php?f=13&t=11007

Descargar LSP-FIX


En cambio se deben eliminar estas:
O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Archivos de programa\webHancer\Programs\whsurvey.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi ... p=ZNfox000
O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe



saludos
ms, 11-9-2006

[Huno]

Acabo de enviar las muestras y el infostat. ¿Espero a que le echéis un vistazo o me meto ya a utilizar el LSPFIX y a eliminar esas entradas que me decís?



Saludos

[msc hotline sat]

El infosat.txt debes pegarlo en el proximo post, aqui en el foro, como respuesta de este Tema



Sobre muestras quizas te refieres a las que te pide el ELISTARA, pero no somos adivinos, y si no yte jemos pedido que lo lanzaras ni pedimos muestras a priori ...???



Veamos que dice el infosat y mañana en SATINFO se analizaran las muestras, que hoy es fiesta nacional en Catalunya..., como supongo sabrás.



saludos



ms, 11-9-2006

[Huno]

Aquí está el infostat:





Sun Sep 10 19:28:19 2006

EliTriIP v2.38 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.38

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVSVCD.EXE.Muestra EliTriIP v2.38

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"





Disculpad que enviara las muestras, pero como el elitrip me decía que lo hiciera, pues lo hice.



Y en cuanto al día de Cataluña, me averguenza decir que se me había olvidado, más que nada porque he pasado allí once años de mi vida.



Saludos.

[Huno]

Una cosa más. Desde que le pasé el elitrip y el AVG, el ordenata funciona mejor en lo relativo a los navegadores que me daban tantos problemas.

En cambio, sigue pasando algo curioso: El mensaje de error "explorer.exe ha detectado un problema y debe cerrarse", únicamente me sale cuando intento acceder al contenido de una determinada carpeta (dentro de Mis Documentos) en la que tengo un montón de videos descargados de la red. Por culpa de ese problema no puedo ni visionar los vídeos en el PC, ni pasarlos a CD o DVD.



Ya me diréis que opináis del infosat posteado.



Saludos

[msc hotline sat]

Estás usando un elitrriip antiguo. Siempre ha de usarse la ultima version ya que es posible que ya controle las muestras enviadas. Descargalo y pruebalo:

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

Tras ello reinicias y nos posteas el contenido del c:\infosat.txt de nuevo, gracias

saludos
ms, 11-9-2006

[Huno]

Acabo de pasar la versión última del Elitrip, pero no me detecta nada, tan sólo me pregunta si deseo bloquear el intento de intrusión por el TCP445, le digo que sí y ya está. No me ha producido esta vez ningún documento infosat.txt.

El ad-aware me detectó esto, que aunque lo elimino, vuelve a salir a cada reinicio (incluso haciéndolo en modo a prueba de errores):

regfile/shell/open/command**0

Y añade: "possible virus infection, REG file extension compromised"



¿Paso a usar el LSP FIX y a borrar las entradas que me habéis recomendado?



Saludos

[Huno]

Hola:



Ya se puede cerrar el tema como solucionado.

El último problema que tenía con el error del explorer, cuando intentaba abrir algunas carpetas con videos en su interior, se debe a que se me habían desconfigurado los codecs. Quitados todos y vueltos a poner. Todo ha vuelto a la normalidad.



Gracias por vuestra ayuda

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 11-9-2006