AYUDAA!!!!!! (TERMINADO POR EXCLUSION)

[Huemule]

Creo k tengo algo mal



Logfile of HijackThis v1.99.1

Scan saved at 16:10:27, on 22/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\AOL\Active Security Monitor\ASMonitor.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Documents and Settings\Nahuel\Menú Inicio\Programas\Inicio\iexplore.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Nahuel\Escritorio\Mis Programas\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.com.ar

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ASM] "C:\Archivos de programa\AOL\Active Security Monitor\ASMonitor.exe" HIDEMAIN

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - Startup: iexplore.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Unknown owner - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe (file missing)

O23 - Service: W2k PCtel speaker phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

[msc hotline sat]

Pues efectivamente, tiene un spyware keylogger !





Envienos muestra de este fichero:



C:\Archivos de programa\AOL\Active Security Monitor\ASMonitor.exe





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



y mientras hacemos la utiliddad, renombre el fichero a .VIR y asi estara fuera de circulacion, luego ya eliminaremos las claves y demas



saludos



ms, 22-10-2006



informacion del bicho:



http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453086496

[Huemule]

Mira a este programa outpost lo desinstale pero sigue en hijackthis



O23 - Service: Outpost Firewall Service (OutpostFirewall) - Unknown owner - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe (file missing)



No pasa nada??



En cuanto al ese de AOL que me pides una muestra es un programa que me baje ase mucgo que te informa si tienes todo en orden ej te dice el firewall esta al 100% actualizado.

[msc hotline sat]

Pues que Dios te mejore la vista !!!



Instalaste un keylogger:



http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453086496



y aparte de popups que te pueden incordiar, esta mandando informacion al exterior...


[quote]
Description: asmonitor.exe is a process belonging to the Actual Spy advertising program. This process monitors your browsing habits and distributes the data back to the author's servers for analysis. This also prompts advertising popups. This process is a security risk and should be removed from your system.


[/quote]

ENVIANOS LA MUESTRA PEDIDA PARA CONTROLARLO !!!





y sobre la clave del Outpost es un resto de una desinstalacion incompleta, eliminala junto con esta que le abre el I.E. en segundo plano posiblemente para uso del keylogger:



O4 - Startup: iexplore.exe



saludos



ms, 23-10-2006

[Huemule]

Pos borro este coso solo que es la ventanita que me salta??

[b]O4 - Startup: iexplore.exe[/b]



y desinstalo el monitoreador ese y listo o havia algo mas que este mal.

Y gracias por su ayuda de siempre

[msc hotline sat]

Tras hacer lo indicado, eres tu el que nos tiene que decir el resultado...



saludos



ms, 24-10-2006