Programas que se bloquean (SOLUCIONADO)

lupusellobo · Mensaje por **lupusellobo** » 14 Sep 2006, 14:42

Hola a todos hoy tuve un problema cuando quise abrir un programa que me sirve para el trabajo no lo pude hacer, en realidad me habia pasado antes pero cerraba el internet explorer y listo andaba, pero hoy no hay caso.

Mirando me di cuenta que se ejecutaba esto w32.exe busque info y dice que es un virus asi que pase el hijackthis y lo elimine pero el problema sigue. aca les pongo el log para ver si encuentran algo.

Faltan tres actualisaciones que entiendo por que no las descargo asi que en eso estoy .

Muchas gracias

Logfile of HijackThis v1.99.1

Scan saved at 13.37.06, on 14/09/06

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\MSSQL7\binn\sqlservr.exe

C:\OfficeScan NT\ntrtscan.exe

C:\OfficeScan NT\OfcPfwSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\OfficeScan NT\tmlisten.exe

C:\WINDOWS\TEMP\UOFC96.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Programmi\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\OfficeScan NT\pccntmon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\MSSQL7\Binn\sqlmangr.exe

C:\OfficeScan NT\pccntupd.exe

C:\Programmi\Internet Explorer\IEXPLORE.EXE

C:\Programmi\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.comau.com/pac/proxy.pac

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [PTHOSTTR] C:\Programmi\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [SetRefresh] C:\Programmi\Compaq\SetRefresh\SetRefresh.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [bueb1.exe] C:\WINDOWS\TEMP\bueb1.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_8 -reboot 1

O4 - Startup: Service Manager.lnk = C:\MSSQL7\Binn\sqlmangr.exe

O4 - Startup: Sonic CinePlayer Quick Launch.lnk = C:\Programmi\File comuni\Sonic Shared\CineTray.exe

O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Service Manager.lnk = C:\MSSQL7\Binn\sqlmangr.exe

O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = C:\Programmi\File comuni\Sonic Shared\CineTray.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158233294750

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{78CEED0A-D0AE-4113-A401-DE5D6A8E86DE}: NameServer = 250.79,10.3.1.30

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\Shared\hpqwmi.exe

O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe

O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan NT\OfcPfwSvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe

Mensaje por **msc hotline sat** » 14 Sep 2006, 17:16

Muy sospechoso este residente lanzado desde una carpeta temporal...

C:\WINDOWS\TEMP\UOFC96.EXE

y lanzar este otro "temporal" ...:

C:\WINDOWS\TEMP\bueb1.exe

y hay dos claves O4 que lanzan un CineTray.exe ???

Envienos muestra de estos ficheros

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saludos

ms, 14-7-2006

lupusellobo · Mensaje por **lupusellobo** » 14 Sep 2006, 19:46

ok muchas gracias mañana les envio los archivos

saludos

Mensaje por **msc hotline sat** » 15 Sep 2006, 07:28

Mientras, en el ordenador renombrelos a .VIR para que no se pongan en marcha al reiniciar...

saludos

ms, 15-9-2006

lupusellobo · Mensaje por **lupusellobo** » 15 Sep 2006, 19:48

Hoy actualice el Ad-Aware SE Plus y me elimino algunos intrusos despues pase el panda on line y me elimino otro virus.

Despues fui a buscar los archivos para mandarlos y no estaban mas. asi que creo se soluciono ya que el programa que se bloqueo despues de eso funsiono bien todo el dia.

con respecto a :

y hay dos claves O4 que lanzan un CineTray.exe ???

el cine tray es un programa instalado desde que tengo el ordenador y lo utilisan para ver peliculas.

creo que esta todo ok

muchas gracias por la ayuda.

suerte

Mensaje por **msc hotline sat** » 16 Sep 2006, 09:31

Pues si te has cargado las muestras antes de envialas, flaco favor has hecho al foro. Y sin muestras nada que hacer!

En consecuencia damos el Tema por solucionado y procedemos a cerrarlo

saludos

ms.

16-09-2006