problema serio con troyano (SOLUCIONADO)

capandres21 · Mensaje por **capandres21** » 13 Sep 2006, 21:39

Ultimamente he tenido problemas con dos troyanos denominados, o reconocidos por mi antivirus como win16.exe y win64.exe. lo que he averiguado es que utilizan un fallo en el firewall (al iniciar el pc siempre el firewall de windows esta desactivado??) y que escribio algo en el registro lo que hace que cada vez que inicio el pc se produzca una copia. El problema a aumentado desde ayer ya que esta afectando la tarjeta o el hardware de sonido y el computador no produce ningun sonido. Tengo entonces que ejecutar un programa de restauracion de aplicaciones. pero cuando se apaga y se enciende pierde nuevamente el sonido. La verdad no se que hacer, porque incluso utilizo regcleaner pero el problema no desaparece. tampoco el windows defender encuentra nada extraño. Les dejo aqui mi Log y espero sus respuestas.

Logfile of HijackThis v1.99.0

Scan saved at 02:30:12 p.m., on 13/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5700.0006)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\service.exe

c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\Archivos de programa\ASUS\ASUS Remote\RemoteControlAppl.exe

C:\Archivos de programa\HP\HP Software Update\HPwuSchd2.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\WildTangent\Apps\CDA\GameDrvr.exe

C:\WINDOWS\system32\LXSUPMON.EXE

C:\Archivos de programa\Winamp\winampa.exe

C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Windows Defender\MSASCui.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\System32\svchost.exe

C:\HP\KBD\KBD.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

c:\windows\system\hpsysdrv.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinRemote.exe

C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe

C:\Archivos de programa\Winamp\Winamp.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\WinAce\WinAce.exe

C:\DOCUME~1\HP_PRO~1\CONFIG~1\Temp\~AceTemp\Antivirus hijacktihs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.live.com/login.srf?id=2&svc=mail&cbid=24325&msppjph=1&tw=0&fs=1&fsa=1&fsat=1296000&lc=21514&_lang=ES

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [RemoteControl] C:\Archivos de programa\ASUS\ASUS Remote\RemoteControlAppl.exe

O4 - HKLM\..\Run: [HPHUPD08] c:\Archivos de programa\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

O4 - HKLM\..\Run: [HPBootOp] "C:\Archivos de programa\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPwuSchd2.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [WildTangent CDA] "C:\Archivos de programa\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Archivos de programa\WildTangent\Apps\CDA\cdaEngine0500.dll"

O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154036373842

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1158123301531

O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\system32\imapi.exe

O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SymWMI Service - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Servicio de Windows Media Connect - Unknown - C:\Archivos de programa\Windows Media Connect 2\wmccds.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Windows Service Manager - Unknown - C:\WINDOWS\System32\service.exe

novatillo · Mensaje por **novatillo** » 13 Sep 2006, 22:24

Prueba elistara y elitriip y tras lanzarlos postea el contenido de C:/infosat.txt a ver que dice.

ELISTARA

http://www.zonavirus.com/descargas/elistara.asp

ELITRIIP

http://www.zonavirus.com/descargas/elitriip.asp

Saludos.

capandres21 · Mensaje por **capandres21** » 14 Sep 2006, 01:06

ya lo pase y esto es lo que hizo:

Wed Sep 13 17:03:28 2006

EliStartPage v12.33 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WT\WEBDRIVER.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Sep 13 17:08:14 2006

EliStartPage v12.33 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\PC-Doctor 5 for Windows\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\WildTangent\Apps\HPUNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\WildTangent\Apps\ONPLAY.EXE --> AutoExtraible

C:\Archivos de programa\WildTangent\Apps\GameChannel\Games\A092DBED-B38E-4A4B-988B-06D4B7D70E1A\HELP.EXE --> AutoExtraible

C:\Archivos de programa\WildTangent\Apps\GameChannel\Games\A092DBED-B38E-4A4B-988B-06D4B7D70E1A\inst\INSTALLWIRE.EXE --> AutoExtraible

C:\Archivos de programa\WildTangent\Apps\HP Game Console\UNINSTALL.EXE --> AutoExtraible

C:\WINDOWS\pchealth\helpctr\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\plugin\UPLOADHSC.DLL --> Eliminado, DollarRevenue (dldr)

Wed Sep 13 17:22:07 2006

EliTriIP v2.46 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICE.EXE.Muestra EliTriIP v2.46

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SERVICE.EXE --> Eliminado

reinicie el equipo y no volvio a aparecer ningun virus, pero sin embargo la situacion con el sonido sigue igual. Tengo que reinstalar la aplicacion si quiero que se escuche algo.

tambien me recogió algo mas. un programa service.exe en una carpeta llamada muestra

un saludo

Mensaje por **msc hotline sat** » 14 Sep 2006, 11:40

Pues lea lo que le dice el infosat :

"Por favor, envienos una muestra del fichero

C:\Muestras\SERVICE.EXE.Muestra EliTriIP v2.46

a "virus@satinfo.es". Gracias. "

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saludos

ms, 14-9-2006

capandres21 · Mensaje por **capandres21** » 15 Sep 2006, 04:53

ya envie el archivo. que debo esperar ahora???

salu2

Mensaje por **msc hotline sat** » 15 Sep 2006, 05:09

Junto con las demas muestras recibidas, se procesaran e implementaran en nuestras proximas utilidades, de lo cual se informará en este foro, como siempre

De todas formas ya eliminamos el malware en donde estaba: C:\WINDOWS\SYSTEM32\SERVICE.EXE --> Eliminado , y lo aparcamos en C:\Muestras\ por lo que ya está fuera de circulacion. Solo tendrás que correr las nuevas utilidades (miralo a partir de las 19 horas de hoy 15/9) para eliminar claves modificadas y demás restos, pro el malware ya está fuera de circulacion

saludos

ms, 15-9-2006

Mensaje por **msc hotline sat** » 15 Sep 2006, 16:21

Visto que ya se controla esta familia de Keyloggers con el ELISTARA, se sigue controlando con dicha utilidad en lugar del ELITRIIP que se había previsto

Así que será con el ELISTARA que estamos haciendo, 12.35

saludos

ms, 15-9-2006

capandres21 · Mensaje por **capandres21** » 17 Sep 2006, 00:45

gracias, ya descarge la actualizacion y la pasé por el sistema.

muchas gracias por todo, el sistema de audio resucitó milagrosamente.

un saludo

Mensaje por **msc hotline sat** » 17 Sep 2006, 18:41

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 17-9-2006