TROYANOS POR TODAS PARTES!

[YUJU]

Hola a todos,



A ver si alguien puede ayudarme.Desde hace 4 días el kasperski me identifica troyanos a todas horas, lo malo es q no puede eliminarlos. Escaneo con el antivirus dos veces al día y tambiñen con el Spybot i Ad-Aware, pero nada, sigo igual, podeis echarme una mano??



No se si servirá de algo pero como veo que normalmente necesitáis un log de Hijackthis, ahi va:



Logfile of HijackThis v1.99.1

Scan saved at 15:56:49, on 27/09/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\NeroCheck.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\MARTA\CONFIG~1\Temp\Rar$EX02.494\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\System32\ixt0.dll (file missing)

O2 - BHO: (no name) - {C7E5683D-F2A8-48D5-AFE2-7F573FE697B8} - C:\WINDOWS\system32\c_2ics.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll (file missing)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs:

O20 - Winlogon Notify: c_2ics - C:\WINDOWS\SYSTEM32\c_2ics.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O21 - SSODL: hinnible - {59080fb1-a43e-4059-a155-18b1eac7352c} - C:\WINDOWS\System32\fhmfes.dll (file missing)

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe









Bueno, eso es todo, espero vuestra respuesta y muchas gracias por adelantado!!

[msc hotline sat]

Prueba el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 27-9-2006

[YUJU]

Hola,



Seguí tus pasos, mientras pasaba el elistara me salió "eliminado troyano alexa"y siguió escaneando.Al reiniciar , una vez aparece el escritorio se pone la pantalla en azul y dice "error grave en el sistema" y ahi se queda...Ahora si que no se que hacer..Espero que tengas algún consejillo para mi..



GRacias

[msc hotline sat]

El Alexa es un adware de poca importancia, pero por lo que dices alguna DLL o fichero cpn coincidencias de cadenas de malwares es posible que haya sido borrado y deba reemplazarse



Sugiero que proceda a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate



Es muy atipico, pero sea lo que fuere, espero que con eso se solucione.



Cuentanos el resultado, gracias





saludos



ms, 28-9-2006

[YUJU]

Gracias, lo haré y ya os cuento



Me gustaría saber si a través de un email sin ningún archivo adjunto, tan solo con unas líneas escritas se puede enviar algún tipo de virus. Verás q no entiendo nada de esto.. Resulta que hace un tiempo tuve muchos problemas cdo un "amigo" me formateo el ordenador pues al parecer me instaló un espia,(back door). Eso ya lo solucioné pero mi pregunta del emial viene porque esta vez los problemas vinieron al abrir un email suyo y ya empiezo a emparanoiarme..



Gracias, con vuestra ayuda aprenderemos todos un pokito mas!!

[msc hotline sat]

Si, claro !



Un texto en HTML puede contener virus, y de la misma forma que puedes infectarte por acceder a una web maliciosa y el I.E. leer su HTML, un e-mail puede llegar en formato HTML con codigo virico incluido, y es el I.E. el que los interpreta, pero para esto están los parches...



Hay muchos agujeros de seguridad, que van siendo parcheados a medida que van siendo conocidos, pero mientras se aplican, los exploits hacen su Agosto...



Eb este foro hemos ido avisando de los parches criticos mas necesarios a medida que han udo saliendo, y de los virus al respecto y utilidades para combatirlos



Pero es necesario no bajar la guardia !!!



https://foros.zonavirus.com/viewtopic.php?f=5&t=10771



saludos



ms, 28-9-2006

[YUJU]

Hola de nuevo,



He estado un tiempo out pero sigo aqui con mi problemillas. No ha hecho falta que haga lo q me dijiste de instalar windows ya que me di cuenta que aparecía el pantallazo cuando al aparecer el escritorio e inmediatamente varios avisos de virus, le daba a eliminar. Si le doy a ignorar a todos los que me salen puedo seguir trabajando con él.



Pues bien como ya he podido acceder a infosat.txt que me pedías te lo pego aqui:



Wed Sep 27 16:35:44 2006

EliStartPage v12.41 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\C_2ICS]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\C_2ICS.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE







Le paso el antivirus y aunque detecta los virus no puede eliminarlos... Bueno, a ver si podeis echarme una mano.



Gracias de nuevo.

[novatillo]

Bueno pues lo primero que debes hacer es lanzar un windowsupdate y actualizar los parches que te faltan

(No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)



Y lo siguiente es mandar la muestra que se te pide



C:\WINDOWS\SYSTEM32\C_2ICS.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.



Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.





Saludos.

[msc hotline sat]

Será el lunes cuando las podamos analizar, pero envialas lo antes posible ya que habrá cola este fin de semana largo...



saludos



ms. 14-10-2006