Extracción De Spyware.

XxxGrxxX · Mensaje por **XxxGrxxX** » 24 Sep 2006, 07:33

Me gustaria una pequeña ayuda con un molesto Spyware que por mas Anty-Spyware que le he pasado nada de salirse de mi pc.... (Critical System Error, Popups :evil: , Internet Explorer con comportamiento anormal, etc..)

Gracias anticipadas...

Bueno, sin mas, aqui esta mi LogFile:

Logfile of HijackThis v1.99.1

Scan saved at 1:12:54 AM, on 9/24/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\issearch.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\isnotify.exe

C:\WINDOWS\system32\ismini.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe

C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Watch.exe

C:\WINDOWS\system32\ishost.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\Notepad.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrador.SHORTY\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {278B661A-14A8-D8B0-6AF4-03088B866149} - C:\WINDOWS\system32\unaoakg.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt4.dll

O2 - BHO: PrintViewBHO Class - {D4E0C464-30CE-4075-9A10-71FD106C2847} - C:\ARCHIV~1\PRINTV~1\PRINTH~1.DLL

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Archivos de programa\Safety Bar\SafetyBar.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [uhvjsul.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\uhvjsul.dll,mrpmvyf

O4 - HKLM\..\Run: [PVModule] C:\ARCHIV~1\PRINTV~1\pvmodule.exe

O4 - HKLM\..\Run: [Spy-Heal] C:\Archivos de programa\Spy-Heal\Spy-Heal.exe /h

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Documents and Settings\Administrador.SHORTY\Escritorio\CoSaS\Nueva carpeta\Ares\Ares.exe" -h

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{55C9D525-1B04-41ED-B9FB-33826983B3A9}: NameServer = 196.3.81.5,200.88.127.23

O17 - HKLM\System\CS1\Services\Tcpip\..\{55C9D525-1B04-41ED-B9FB-33826983B3A9}: NameServer = 196.3.81.5,200.88.127.23

O17 - HKLM\System\CS2\Services\Tcpip\..\{55C9D525-1B04-41ED-B9FB-33826983B3A9}: NameServer = 196.3.81.5,200.88.127.23

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: wincjf32 - C:\WINDOWS\SYSTEM32\wincjf32.dll

O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

***Esperando la repuesta dentro de sus posibilidades....

Mensaje por **maura63** » 24 Sep 2006, 11:10

Descarga ELISTARA y mira si pide que envies muestras de algun archivo, te lo indicara en el fichero infosat.txt que creara.

C:\WINDOWS\system32\issearch.exe -

C:\WINDOWS\system32\isnotify.exe -

C:\WINDOWS\system32\ismini.exe -

C:\WINDOWS\system32\ishost.exe -

O2 - BHO: (no name) - {278B661A-14A8-D8B0-6AF4-03088B866149} - C:\WINDOWS\system32\unaoakg.dll (file missing) -

O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt4.dll -

O2 - BHO: PrintViewBHO Class - {D4E0C464-30CE-4075-9A10-71FD106C2847} - C:\ARCHIV~1\PRINTV~1\PRINTH~1.DLL -

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Archivos de programa\Safety Bar\SafetyBar.dll -

O4 - HKLM\..\Run: [uhvjsul.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\uhvjsul.dll,mrpmvyf -

O4 - HKLM\..\Run: [PVModule] C:\ARCHIV~1\PRINTV~1\pvmodule.exe -

O4 - HKLM\..\Run: [Spy-Heal] C:\Archivos de programa\Spy-Heal\Spy-Heal.exe /h -

O20 - Winlogon Notify: wincjf32 - C:\WINDOWS\SYSTEM32\wincjf32.dll -

O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll -

O23 - Service: Power Manager (PowerManager) - owner - C:\WINDOWS\svchost.exe (file missing) -

Saludos

maura63

XxxGrxxX · Mensaje por **XxxGrxxX** » 24 Sep 2006, 17:32

Ya eliminé las claves del registro indicadas, exepto esta:

~~[b]~~O23 - Service: Power Manager (PowerManager) - owner - C:\WINDOWS\svchost.exe (file missing) - [/b]

No se si talvez tenga que hacerlo en Modo Seguro... pero no se ha eliminado a diferencia de las demas..

También me gustaría saber que tengo que hacer con esta parte que me indicaron(¿buscarlas individualmente y eliminarlas? Como estan en System32 supongo k debe ser en Modo Seguro...):

~~[b]~~C:\WINDOWS\system32\issearch.exe -

C:\WINDOWS\system32\isnotify.exe -

C:\WINDOWS\system32\ismini.exe -

C:\WINDOWS\system32\ishost.exe - [/b]

Ahora muestro el LogFile despues de haber eliminado las entradas del registro (*Nota: Se muestra la entrada 023... la k no se elimina...) :

Logfile of HijackThis v1.99.1

Scan saved at 9:09:31 AM, on 9/24/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ishost.exe

C:\WINDOWS\system32\ismini.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\{F038593B-03E8-1033-0506-021212200001}\Update.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrador.SHORTY\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Documents and Settings\Administrador.SHORTY\Escritorio\CoSaS\Nueva carpeta\Ares\Ares.exe" -h

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{55C9D525-1B04-41ED-B9FB-33826983B3A9}: NameServer = 196.3.81.5,200.88.127.23

O17 - HKLM\System\CS1\Services\Tcpip\..\{55C9D525-1B04-41ED-B9FB-33826983B3A9}: NameServer = 196.3.81.5,200.88.127.23

O17 - HKLM\System\CS2\Services\Tcpip\..\{55C9D525-1B04-41ED-B9FB-33826983B3A9}: NameServer = 196.3.81.5,200.88.127.23

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

*Los Popups han dejado de salir... y la pagina de inicio del IE ha vuelto a la normalidad, y los mensajes de Critical System Error tambien desaparecieron... (Thanks :!: )

**En cuanto al EliStarA.. supongo k el link de ustedes no esta roto, asi k le atribuyo el problema a mi IE, debido a que no se descarga esta herramienta desde su sitio, he buscado en otros sites, pero me ha sido inutil debido a restricciones,etc. Solo pude descargar una version anterior a la ultima.. la cual me dice "ATENCION: ESTE PROGRAMA DEBE SER RENOVADO. DEBE ACTUALIZARSE CON LA ULTIMA VERSION" y... en la pagina que me suguiere http://www.satinfo.es no me permite realizar la descarga, por lo cual me limite solamente a eliminar las entradas con el HiJackThis.

***Por otro lado, aparte de las explicaciones que he pedido en la parte superior de este mensaje y las desapariciones de algunas molestias, tambien noto una lentitud enorme en el IE, a mi parecer puede ser provocada por algún residuo del Spyware :roll: , algun sugerencia? ....

Gracias Anticipadas...

Mensaje por **maura63** » 24 Sep 2006, 19:59

Sigues teniendo pulgas.

Arranca en modo seguro con funciones de red y trata de pasar este antivirus

Antivirus On-line:

· Computer Associates

https://www.virustotal.com/es/

Saludos

maura63

XxxGrxxX · Mensaje por **XxxGrxxX** » 24 Sep 2006, 23:54

Luego de una eterna espera por la instalación de los componentes del antivirus online (a pesar del DSL), no veo rastro de "pulgas" :D en mi ordenador... el IE sigue como un suero de miel de abeja.. pero atribuiré esta lentitud a...... otra cosa :roll: .......

MIL GRACIAS Maura..... y....proceda con la clausura...

[color=blue]Gerardo Camilo

Republica Dominicana[/color]

XxxGrxxX · Mensaje por **XxxGrxxX** » 26 Sep 2006, 04:16

LUEGO DE PERMANECER UN DIA TOTALEMENTE ESTABLE.... VUELVEN A REAPARECER :evil: EL FENIX LES QUEDA CHIQUITO!!

VUELVEN LOS MENSAJES... SE CAMBIO EL HOMEPAGE.....

QUE STRESS!!

A CONTINUACION EL LOGFILE :S XD .....

Logfile of HijackThis v1.99.1

Scan saved at 8:14:24 PM, on 9/25/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ishost.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\{F038593B-03E8-1033-0506-021212200001}\Update.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ismini.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\isnotify.exe

C:\WINDOWS\system32\issearch.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrador.SHORTY\Escritorio\Lot\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt4.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Documents and Settings\Administrador.SHORTY\Escritorio\CoSaS\Nueva carpeta\Ares\Ares.exe" -h

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{55C9D525-1B04-41ED-B9FB-33826983B3A9}: NameServer = 196.3.81.5,200.88.127.23

O17 - HKLM\System\CS1\Services\Tcpip\..\{55C9D525-1B04-41ED-B9FB-33826983B3A9}: NameServer = 196.3.81.5,200.88.127.23

O17 - HKLM\System\CS2\Services\Tcpip\..\{55C9D525-1B04-41ED-B9FB-33826983B3A9}: NameServer = 196.3.81.5,200.88.127.23

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

***Pensaba que ya habia salido de esa plaga!! :'(

Mensaje por **maura63** » 26 Sep 2006, 21:13

Que antivirus residente utilizas :?: :?:

Tienes troyanos en tu PC.

Arranca en modo seguro y desactiva antes la restauracion del sistema y lanza el antivirus online que te comente antes asi como un anti-spyware.

Prueba de lanzar tambiem ELISTARA y peganos el log que crea en C llamado infosat.txt.

Saludos

maura63

XxxGrxxX · Mensaje por **XxxGrxxX** » 27 Sep 2006, 00:57

YO LE PASE EL ANTIVIRUS Y TODO, TALVEZ COMO ESTOY DESPROTEGIDO (SIN ANTIVIRUS)...

PERO, CUANDO LLEGUE A MI CASA SEGUIRE TUS INSTRUCCIONES....EL OTRO PROBLEMA ES K CADA LINK DEL ELISTARA ME PRESENTABA PROBLEMAS ...... PERO LO INTENTARE... SI TIENES UN LINK SEGURO ME LO PUEDES PUBLICAR...

THANKS...

Mensaje por **msc hotline sat** » 27 Sep 2006, 11:34

Tienes PUPER y otras hierbas !

Baja las ultimas versiones del ELISTARA Y DEL ELITRIIP y pruebalas:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludps

ms, 27-9-2006

XxxGrxxX · Mensaje por **XxxGrxxX** » 30 Sep 2006, 05:19

Pasé el SpyBot y el Elipstara.... El log HiJackThis esta a continuación:

Logfile of HijackThis v1.99.1

Scan saved at 5:20:31 PM, on 9/29/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\Notepad.exe

C:\Documents and Settings\Administrador.SHORTY\Escritorio\Lot\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt4.dll

O2 - BHO: (no name) - {CFA04D02-71D9-48DC-B7E1-BC17FF25E064} - C:\WINDOWS\system32\grapdes.dll

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Archivos de programa\Safety Bar\SafetyBar.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Documents and Settings\Administrador.SHORTY\Escritorio\CoSaS\Nueva carpeta\Ares\Ares.exe" -h

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll (file missing)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll (file missing)

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{55C9D525-1B04-41ED-B9FB-33826983B3A9}: NameServer = 196.3.81.5,200.88.127.23

O17 - HKLM\System\CS1\Services\Tcpip\..\{55C9D525-1B04-41ED-B9FB-33826983B3A9}: NameServer = 196.3.81.5,200.88.127.23

O17 - HKLM\System\CS2\Services\Tcpip\..\{55C9D525-1B04-41ED-B9FB-33826983B3A9}: NameServer = 196.3.81.5,200.88.127.23

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs:

O20 - Winlogon Notify: grapdes - C:\WINDOWS\SYSTEM32\grapdes.dll

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

********Y el INFOSAT a continuación:

Fri Sep 29 16:54:41 2006

EliTriIP v2.54 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Fri Sep 29 17:13:48 2006

EliTriIP v2.54 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Ahora voy a subir el SO normalmente... les cuento los resultados a continuación...

Mensaje por **msc hotline sat** » 30 Sep 2006, 07:44

No parece que hayas pasado el ELISTARA ???

En cualquier caso:

Faltan parches de microsoft. Lance un windowsupdate !!!

Envienos muestras de estos ficheros:

C:\WINDOWS\system32\ixt4.dll

C:\WINDOWS\system32\grapdes.dll

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

Luego arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:

http://fileinfo.prevx.com/adware/qq056b31289185-IXT418123054/IXT4.DLL.html

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Archivos de programa\Safety Bar\SafetyBar.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll (file missing)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll (file missing)

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll (file missing)

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

saludos

ms, 30-9-2006

XxxGrxxX · Mensaje por **XxxGrxxX** » 02 Oct 2006, 03:32

Les envié las muestras solicitadas...

~~[b]~~Le he pasado el Elitrip, Elistara, SpyBot y aqui esta el log del HiThisJack :[/b]

Logfile of HijackThis v1.99.1

Scan saved at 8:03:59 PM, on 10/1/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Archivos comunes\{F038593B-03E8-1033-0506-021212200001}\Update.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrador.SHORTY\Escritorio\Lot\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.do

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {4E86A50B-A7FF-4cae-B8B7-28A13B6D46F0} - C:\WINDOWS\system32\grapdes.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll (file missing)

O2 - BHO: (no name) - {CFA04D02-71D9-48DC-B7E1-BC17FF25E064} - C:\WINDOWS\system32\grapdes.dll

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{55C9D525-1B04-41ED-B9FB-33826983B3A9}: NameServer = 196.3.81.5,200.88.127.23

O17 - HKLM\System\CS1\Services\Tcpip\..\{55C9D525-1B04-41ED-B9FB-33826983B3A9}: NameServer = 196.3.81.5,200.88.127.23

O17 - HKLM\System\CS2\Services\Tcpip\..\{55C9D525-1B04-41ED-B9FB-33826983B3A9}: NameServer = 196.3.81.5,200.88.127.23

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: grapdes - C:\WINDOWS\SYSTEM32\grapdes.dll

~~[b]~~*****Y aqui esta el Infosat:[/b]

Sun Oct 01 08:34:00 2006

EliStartPage v12.43 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\GRAPDES] -> C:\WINDOWS\SYSTEM32\GRAPDES.DLL

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.43

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\ISSEARCH.EXE --> Eliminado Puper

C:\WINDOWS\SYSTEM32\IXT1.DLL --> Eliminado Puper-Is

C:\WINDOWS\SYSTEM32\IXT2.DLL --> Eliminado Puper-Is

C:\WINDOWS\SYSTEM32\IXT3.DLL --> Eliminado Puper-Is

Por favor, envienos una muestra del fichero

C:\Muestras\IXT4.DLL.Muestra EliStartPage v12.43

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IXT4.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\GRAPDES.DLL --> DownLoader(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

Eliminada Class, "{052B12F7-86FA-4921-8482-26C42316B522}" -> C:\Archivos de programa\Safety Bar\SafetyBar.dll

Eliminada Carpeta "%WinSys%\LogFiles"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Sun Oct 01 08:36:02 2006

EliStartPage v12.43 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\GRAPDES] -> C:\WINDOWS\SYSTEM32\GRAPDES.DLL

C:\WINDOWS\SYSTEM32\GRAPDES.DLL --> DownLoader(notify) Acceso Denegado.

Eliminados Ficheros Temporales del IE

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Oct 01 08:37:20 2006

EliStartPage v12.43 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

C:\WINDOWS\system32\WINCJF32.DLL --> Eliminado, BackDoor-CVT (notify)

isimartin · Mensaje por **isimartin** » 02 Oct 2006, 04:30

Tiene usted que lanzar un windows update. Se puede hacer desde herramientas del internet explorer, y poner todas las actualizaciones criticas (las llama rápidas).

Pero cómo se puede andar sin antivirus ´por el mundo? (perdone que le regañe). Compre el mccafee que propugnan los de esta gran pagina o busquese la vida para instalar uno gratuito que los hay.

Saludos.

Mensaje por **msc hotline sat** » 02 Oct 2006, 04:49

Pues ademas de lo indicado por isimartin, puede eliminar esta clave:

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll (file missing)

y añada al envio de muestras, esta DLL:

C:\WINDOWS\SYSTEM32\grapdes.dll

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saludos

ms, 2-10-2006

pendiente para respuesta en 21006

Mensaje por **msc hotline sat** » 02 Oct 2006, 11:08

Recibidas las muestras, son variantes de PUPER que quedan implementadas en la version de hoy, a excepcion del C:\WINDOWS\system32\grapdes.dll que era un Downloader Notify que se resiste mas, pues ya lo controlabamos en la version utilizada, pero debería haber sido eliminado por ella en el siguiente reinicio, ya que no pudo inicialmente por tener el acceso denegado

Necesitamos ver si lanzando otra vez el ELISTARA lo detectamos y en su caso lo eliminamos o ya está eliminado,. Por ello le pedimos que vuelva a lanzar el ELISTARA y nos postee el C:\infosat.txt creado

Aparte de dicho log, lance tambien de nuevo el HJT y posteenos log actual, gracias

saludos

ms, 2-10-2006

Mensaje por **msc hotline sat** » 03 Oct 2006, 16:25

Dado un problema con el servidor de descargas de esta utilidad ELISTARA.EXE, para descargar la 12.45 puede descargarla como emergencia desde este link:

MIRRORMS.EXE (SOLO PARA EMERGENCIA)

http://www.zonavirus.com/datos/descargas/245/mirrormsexe.asp

saludos

ms,. 3-10-2006

Extracción De Spyware.

Extracción De Spyware.

Extracción Completa...eso creo

THEY'RE BACK!

OK

Ok...