Brave Sentry (CERRADO)

[Pelus]

No sé como leches se me ha metido esto, es como un tiburoncete que se ha instalado en el escritorio, me ofrece una especie de antispyware. La cosa es que me cierra las ventanas del explorer y del firefox, sobre todo si meto su nombre en el google, cuando me da los resultados las ventanas se cierran.



Además me cierra el Spybot S&D antes de que empiece a escanear, y me sale contínuamente una ventanita diciendo que estoy infectado con spyware, que pone que es de windows pero lo dudo.



Tengo info muy importante en el ordenador que nopuedo perder, no me atrevo ni a apagarlo por si luego no arranca...¿qué hago?



Gracias

[Nuker]

Pruebe EliStarA por ahora a ver si le llegara a detectar algo. Copie y pegue el log resultante aqui para ver el resultado.





EliStarA: http://www.zonavirus.com/descargas/elistara.asp







Saludos.

[msc hotline sat]

Y sin apagar posteanos log del HJT:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, infornaremos



saludos



ms, 7-12-2006

[Pelus]

Gracias por contestar.



He conseguido pararlo un poco gracias al Spybot S&D, y a otros que me he bajado, pero aún sigue ahí.



En otro foro encontré la lista de procesos que debería de borrar al pasar el HJackthis, pero no vi ninguno coincidente.



De todas formas pego aquí el login y me contáis. El Eliestara ese no lo he pasado ¿lo hago?



El log está hecho en win xp con el Spybot S&D como residente y el modo de prueba del SpywareDoctor que no sé si vale para algo. En modo normal, no lo he hecho en modo a prueba de fallos. Y el "bicho" que se me ha metido se llama BraveSentry.



Gracias





Logfile of HijackThis v1.99.1

Scan saved at 21:27:27, on 07/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\ARCHIV~1\Iomega\System32\AppServices.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe

C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe

C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\inet.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe

C:\Archivos de programa\Spyware Doctor\swdoctor.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe

C:\ARCHIV~1\MI3AA1~1\rapimgr.exe

C:\Archivos de programa\ExBolsillo\ExBolsillo.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {036C36FC-772A-1958-E85B-0AD7285660CF} - C:\WINDOWS\system32\duoxthf.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\WINDOWS\iDialer\Wanadoo Turbo\pbhelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Archivos de programa\TGTSoft\StyleXP\TGT_BHO.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [System64] C:\WINDOWS\system32\inet.exe

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Download All by FlashGet - C:\Documents and Settings\DMF\Escritorio\Instaladores\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Documents and Settings\DMF\Escritorio\Instaladores\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: RMDActiveX - http://www.expansion.com/pdf/RMDActiveX.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {D4CBCE3D-EC46-4D76-8316-03976C19541C} (Connection Class) - https://inverca.r4.com/natural_nocache/browserdriver.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: ,

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Iomega App Services - Iomega Corporation - C:\ARCHIV~1\Iomega\System32\AppServices.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe

[Nuker]

Pase EliStarA y pegue el log

[Pelus]

Lo he pasado y me vuelve a saltar al reiniciar. Hay un archivo de AutoCad que...me temo que se ha cargado.





Thu Dec 07 21:45:13 2006

EliStartPage v12.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\RPCC]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\RPCC.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

Por favor, envienos una muestra del fichero

C:\Muestras\XPUPDATE.EXE.Muestra EliStartPage v12.86

a "virus@satinfo.es". Gracias.

C:\WINDOWS\XPUPDATE.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\RPCC.DLL --> Acceso Denegado.

C:\Documents and Settings\DMF\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).



Thu Dec 07 21:49:33 2006

EliStartPage v12.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\RPCC]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\RPCC.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

C:\WINDOWS\SYSTEM32\RPCC.DLL --> Acceso Denegado.

Eliminada Carpeta "%WinSys%\LogFiles"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Dec 07 21:51:35 2006

EliStartPage v12.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\AutoCAD 2004\ADIMON2.DLL --> Eliminado, AltNet

C:\Archivos de programa\Codec Pack de ELISOFT\divx511\FSG_4104.EXE --> Eliminado, Gator Gain

C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL --> Eliminado, FakeAlert

C:\Archivos de programa\Spyware Doctor\tools\EG.DAT --> Eliminado, DownLoader

C:\Archivos de programa\Spyware Doctor\tools\KLG.DAT --> Eliminado, DownLoader

C:\Archivos de programa\Spyware Doctor\tools\SWPG.DAT --> Eliminado, DownLoader

C:\WINDOWS\system32\DLH9JKD1Q1.EXE --> Eliminado, DownLoader-Small (vxh8jkdq)

C:\WINDOWS\system32\INET.EXE --> Eliminado, DownLoader.Vixup

C:\WINDOWS\system32\QVX5GAMET2.EXE --> Eliminado, DownLoader.Vixup

C:\WINDOWS\system32\QVXGA6MET3.EXE --> Eliminado, DownLoader-Small (vxh8jkdq)

C:\WINDOWS\system32\QVXGA7MET4.EXE --> Eliminado, DownLoader-Small (vxh8jkdq)

C:\WINDOWS\system32\VXGA3ME2.EXE --> Eliminado, DownLoader-Small (vxh8jkdq)



Thu Dec 07 22:11:39 2006

EliStartPage v12.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\RPCC]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\RPCC.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

C:\WINDOWS\SYSTEM32\RPCC.DLL --> Acceso Denegado.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[novatillo]

Lo primero instala los parches que te faltan



No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto



Y lo segundo manda la muestra que se te pide



Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

C:\WINDOWS\SYSTEM32\RPCC.DLL --> Acceso Denegado



SOLICITUD DE MUESTRAS





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.





si hay problemas en el envio:



Para que el envio no sea interceptado por los antivirus, desactivando el antivirus residente o arrancando en modo seguro, empaquetar el fichero infectado en un ZIP o RAR con password "VIRUS" y asi se encriptará de manera que nadie lo detecte







Saludos

[Pelus]

[quote="novatillo"]Lo primero instala los parches que te faltan



No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto
[/quote]

Eso va a ser difícil... :roll:



¿Cómo se arranca en "consola de recuperación"?

[Pelus]

[quote="Pelus"]
¿Cómo se arranca en "consola de recuperación"?[/quote] :?:

[novatillo]

Arrancando con el CD de instalcion y pulsando R podras acceder a la consola de recuperacion, recordandote que debes programar el SETUP para que te arranque prioritariamente desde CD (BootSequence)

Y aparte por que dices? No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto "Eso va a ser difícil... "





Saludos.

[Pelus]

Lo digo porque el Windows que uso ahora no es el que me venía con el ordenador, y por tanto no tengo CD de instalación ni claves para actualizar...



He conseguido "frenarlo" y el ordenador ya va bastante bien, sin embargo el spybot me detecta smitfraud.c que no soy capaz a quitar y me sigue dando alertas con el rpcc.dll , no soy capaz a comprimirlo para mandarlo.



El problema que tengo es entrar a esa consola de recuperación.

[Pelus]

Y añado un log del Elistara (está funcionando el NOD32 y el Spybot S&D como residente)



Sat Dec 09 00:06:46 2006

EliStartPage v12.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\RPCC]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\RPCC.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

C:\WINDOWS\SYSTEM32\RPCC.DLL --> Acceso Denegado.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[novatillo]

Pues el problema principal esta en el SO debes de tenerlo original si no poco podremos hacer.

La pirateria suele traer esos problemas







Saludos.

[Pelus]

[quote="novatillo"]Pues el problema principal esta en el SO debes de tenerlo original si no poco podremos hacer.

La pirateria suele traer esos problemas.[/quote]

No es pirata, es prestado.



De todas formas, lo entiendo.



Con el NOD32 activado, el Spybot residente, parece que lo he Bloqueado, aunque sigue ahí. ¿Es seguro acceder a la web del banco, por ejemplo, al menos hasta que actualice WIN?



Y gracias por todo :lol:

[msc hotline sat]

Un sistema operativo es para un solo ordenador, y el utilizarlo en mas de uno es pirateario, pues de entrada Vd no tiene licencia de uso del fabricante.



Las Leyes del Copyright protegen contra las copias y el uso indebido de las mismas defendiendo la propiedad intelectual



Adquiera una licencia para su ordenador y no tendra estos problemas.



Otra cosa es que personalmente considere que una vez adquidida una licencia de un sistema operativo para un ordenador, deberia poder accederse a nuevos sistemas como del W98 al XP o ahora al nuevo VISTA, sino gratuitamente, a un precio reducido, pero el propietario tiene la palabra...



y dando el Tema por finalizado, procedemos a cerrarlo



saludos



ms, 9-12-2006