analizar mi HiJackThis, creo k tengo spyware (SOLUCIONADO)

[eliza1919]

Hola, que tal, antes que nada muchas gracias por este espacio y por toda la ayuda. :D



Ya he andado de foro en foro y de página en página buscando una solución, pero nada :( . El problema empezó con que me cambiaron mi página de inicio por una de turkia y me la bloquearon, eso lo solucioné aparentemente pero despues de un rato regresa. También se oye, sin que yo haga nada en el explorer como si estuviera cambiando de página. Ahora me esta apareciendo cuando inicio mi PC un mensaje que dice Error en Services.exe que no se quita. Ya corrí el Norton que tengo y dos antivirus más en línea; también ya le pasé el Spybot y me detecta 5 "hole" en Windows que nadamás no puedo corregir.

Ojalá me puedan ayudar :oops: , pego aquí el log del HiJackThis



Logfile of HijackThis v1.99.1

Scan saved at 11:58:20 a.m., on 08/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\Windows\system\services.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\SiteAdvisor\4608\SAService.exe

C:\WINDOWS\system32\slserv.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Documents and Settings\Servidor\Escritorio\HiJackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.travelofturkey.info/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LGODDFU] "C:\Archivos de programa\lg_fwupdate\fwupdate.exe" blrun

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [EPSON Stylus CX3900 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEL.EXE /FU "C:\WINDOWS\TEMP\E_S82.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.exe

O4 - HKLM\..\Run: [Services Control Manager] C:\Windows\system\services.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [EPSON Stylus CX3900 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEL.EXE /FU "C:\DOCUME~1\Servidor\CONFIG~1\Temp\E_S2.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_04\bin\npjpi141_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_04\bin\npjpi141_04.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://moonlightondarksky.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{73D1EB85-5800-46D6-A8A9-69847C019DF2}: NameServer = 200.33.146.194,200.33.146.202

O17 - HKLM\System\CS1\Services\Tcpip\..\{73D1EB85-5800-46D6-A8A9-69847C019DF2}: NameServer = 200.33.146.194,200.33.146.202

O17 - HKLM\System\CS2\Services\Tcpip\..\{73D1EB85-5800-46D6-A8A9-69847C019DF2}: NameServer = 200.33.146.194,200.33.146.202

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SiteAdvisor Service - Unknown owner - C:\Archivos de programa\SiteAdvisor\4608\SAService.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

[novatillo]

Prueba con elistara y tras reiniciar postea el contenido de C:/infosat.txt



ELISTARA

http://www.zonavirus.com/descargas/elistara.asp





saludos.

[msc hotline sat]

Ademas envianos estas muestras para analizar:





C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEL.EXE



C:\Archivos de programa\lg_fwupdate\fwupdate.exe



C:\DOCUME~1\Servidor\CONFIG~1\Temp\E_S2.tm





________





Y ELIMINA ESTAS CLAVES:



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.travelofturkey.info/



O4 - HKLM\..\Run: [Services Control Manager] C:\Windows\system\services.exe







recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 9-12-2006

[eliza1919]

Hola que tal, gracias por su pronta respuesta. Ya le hice el chequeo con Elistara y me detectó 4 ficheros infectados:



- 00295541.CAB -> MyWebSearch [DPF]

- 00295546.EXE -> MyWebSearch

- COUNTER.EXE -> Restart

- RESTART.EXE -> Restart



Ya eliminé las claves con el HijackThis y parece que el asunto de la página de inicio se ha solucionado. Ustedes disculparán, pero no soy muy versada en estos asuntos, y desconozco qué hacer para enviar una muestra de lo que me piden :oops: Estoy indagando cómo hacerlo, en cuanto las tenga las envío. Muchas gracias.

[eliza1919]

Perdón, olvidé pegar el resultado del elistara:



Sat Dec 09 15:03:00 2006

EliStartPage v12.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Dec 09 15:06:30 2006

EliStartPage v12.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\RECYCLER\NPROTECT\00295541.CAB --> Infectado, MyWebSearch (DPF)

C:\RECYCLER\NPROTECT\00295546.EXE --> Infectado, MyWebSearch

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Infectado, Restart

C:\WINDOWS\system32\Tools\RESTART.EXE --> Infectado, Restart



Sat Dec 09 15:32:29 2006

EliStartPage v12.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\RECYCLER\NPROTECT\00295541.CAB --> Eliminado, MyWebSearch (DPF)

C:\RECYCLER\NPROTECT\00295546.EXE --> Eliminado, MyWebSearch

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart

C:\WINDOWS\system32\Tools\RESTART.EXE --> Eliminado, Restart





El windows update está incompleto ya que lo he desactivado, pues me han dicho que en ocasiones se desgargan actualizaciones para programas que no tengo, y eso alenta la máquina, pero de ser necesario las descargo si así me lo indican. Gracias :)

[Nuker]

Hola, no te preocupes mira :



C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\[b]E_FATIBEL.EXE [/b]



C:\Archivos de programa\lg_fwupdate\[b]fwupdate.exe [/b]



C:\DOCUME~1\Servidor\CONFIG~1\Temp\[b]E_S2.tm [/b]



Los ficheros en negritas son los que tienes que enviar ( si no te deja enviar el archivo baja winrar o winzip para que los empaquetes y te deje enviarlo)



Aqui esta el link de como enviar muestras , abrelo :





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Saludos.[/b]

[msc hotline sat]

Y los parches de microsoft impiden que los exploits aprovechen los agujeros de seguridad del windows. Es necesario instalarlos.



saludos



ms, 11-12-2006

[eliza1919]

Ok, entonces voy a descargar las actualizaciones que me faltan :wink: Otra cosa más, ya envié mis prubas al correo que me indicaron, quedo en espera de su respuesta, gracias!!! :D

[msc hotline sat]

Los ficheros recibidos como muestra para analizar resultan ser drivers de EPSON y update de firmware de LG, sin rutinas viricas.



saludos



ms, 12-12-2006

[eliza1919]

Muchas gracias por toda su ayuda. Según parece mi PC ha quedado en óptimas condiciones otra vez. :D



De cualquier modo, el foro me ha encantado y seguiré navegando por aquí en adelante. [b]Otra vez, gracias!!![/b]

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 12-12-2006