Your computer is infected! (Ayuda)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
peet1978
Mensajes: 3
Registrado: 24 Ene 2007, 18:57

Your computer is infected! (Ayuda)

Mensaje por peet1978 » 24 Ene 2007, 19:11

Hola, necesito ayuda para eliminar cierto malware insoportable que se metió en mi traybar. Es un ícono con forma de escudo rojo con una X blanca y presenta un mensaje como el del título. Estuve investigando en varios foros y siguiendo las recomendaciones, les digo lo que hice:

1- Pasé RegSeeker hasta eliminar todos los errores del registro.

2- Corrí HijackThis y guardé el log.

3- Busqué las entradas que indicaban en los mensajes de todos los foros que pude encontrar sobre el tema, pero en mi PC no están esas entradas ni esos archivos.



En fin, les paso el log, a ver si algún alma caritativa (y mucho más inteligente que yo) tiene idea qué debo hacer.



Desde ya, eternamente agradecido!

P.D.: Mando el log acá, no pude ponerlo como adjunto.



Logfile of HijackThis v1.99.1

Scan saved at 02:10:15 p.m., on 24/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\E_S00RP1.EXE

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\SAgent4.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\PV92Tray.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\DAP\DAP.EXE

C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\svhostz1.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE

C:\WINDOWS\system32\ctpmon.exe

C:\WINDOWS\system32\ctpmon.exe

C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\TEMP\36D6.tmp

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\DOCUME~1\Pc\CONFIG~1\Temp\Rar$EX13.8172\HijackThis.exe



O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [EPSON Stylus CX3700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE /P26 "EPSON Stylus CX3700 Series" /O6 "USB001" /M "Stylus CX3700"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Archivos de programa\DAP\DAP.EXE" /STARTUP

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [SvcManager] svhostz1.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [EPSON Stylus CX3700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE /P26 "EPSON Stylus CX3700 Series" /M "Stylus CX3700" /EF "HKCU"

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctpmon] ctpmon.exe

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O4 - Global Startup: KODAK Software Updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://cris513.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141909155875

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75105036-3F43-41F4-843A-77B7D0E39D64}: NameServer = 200.45.191.35 200.45.191.40

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\SAgent4.exe
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 24 Ene 2007, 19:16

Luego analizo el log, pero mientras pruebe el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 24-01-2007
Última edición por msc hotline sat el 30 Ene 2007, 11:11, editado 1 vez en total.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 24 Ene 2007, 19:54

enviarnos estos ficheros para analizar



C:\WINDOWS\system32\svhostz1.exe



C:\WINDOWS\system32\ctpmon.exe



C:\WINDOWS\TEMP\36D6.tmp









eliminar estas claves:



O4 - HKLM\..\Run: [SvcManager] svhostz1.exe



O4 - HKCU\..\Run: [ctpmon] ctpmon.exe







recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 24-01-2007
Arriba
peet1978
Mensajes: 3
Registrado: 24 Ene 2007, 18:57

Mensaje por peet1978 » 28 Ene 2007, 00:24

Gracias, el lunes, que vuelvo al trabajo, sigo las instrucciones y te mando los archivos.
Arriba
peet1978
Mensajes: 3
Registrado: 24 Ene 2007, 18:57

Mensaje por peet1978 » 30 Ene 2007, 17:10

Hola: Eliminé las claves indicadas y se ha solucionado el problema.



Posteo el contenido de c:\infosat.txt



También les he enviado los archivos solicitados, con la salvedad que c:\WINDOWS\TEMP\36D6.tmp ya no se encontraba.



¿Debo eliminar los archivos svhostz1.exe y ctpmon.exe?





Tue Jan 30 11:06:36 2007

EliStartPage v13.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jan 30 11:12:21 2007

EliStartPage v13.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 forums.techguy.org

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.castlecops.com

Linea Eliminada del HOSTS --> 127.0.0.1 castlecops.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 siri.urz.free.fr

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.majorgeeks.com

Linea Eliminada del HOSTS --> 127.0.0.1 majorgeeks.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.spywareinfo.dk

Linea Eliminada del HOSTS --> 127.0.0.1 spywareinfo.dk

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.superantispyware.com

Linea Eliminada del HOSTS --> 127.0.0.1 superantispyware.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.compu-docs.com

Linea Eliminada del HOSTS --> 127.0.0.1 compu-docs.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pandasoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 pandasoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 download.bleepingcomputer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.bleepingcomputer.com

Linea Eliminada del HOSTS --> 127.0.0.1 bleepingcomputer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.google.com

Linea Eliminada del HOSTS --> 127.0.0.1 google.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.google.ca

Linea Eliminada del HOSTS --> 127.0.0.1 google.ca

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.ewido.net

Linea Eliminada del HOSTS --> 127.0.0.1 ewido.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.greyknight17.com

Linea Eliminada del HOSTS --> 127.0.0.1 greyknight17.com

Linea Eliminada del HOSTS --> 127.0.0.1 help.lockergnome.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lavasoftsupport.com

Linea Eliminada del HOSTS --> 127.0.0.1 lavasoftsupport.com

Linea Eliminada del HOSTS --> 127.0.0.1 cleanup.stevengould.org

Linea Eliminada del HOSTS --> 127.0.0.1 stevengould.org

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.tomcoyote.org

Linea Eliminada del HOSTS --> 127.0.0.1 tomcoyote.org

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.depannetonpc.net

Linea Eliminada del HOSTS --> 127.0.0.1 depannetonpc.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.wilderssecurity.com

Linea Eliminada del HOSTS --> 127.0.0.1 wilderssecurity.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jan 30 11:13:23 2007

EliStartPage v13.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\ADIRAS.EXE --> Eliminado, Dialer-RAS.DE

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor

C:\System Volume Information\_restore{33908FD9-9715-416E-A6E2-651B375BDEBB}\RP23\A0024544.EXE --> Eliminado, Dialer-RAS.DE

C:\System Volume Information\_restore{33908FD9-9715-416E-A6E2-651B375BDEBB}\RP28\A0026786.EXE --> Eliminado, Dialer-RAS.DE

C:\System Volume Information\_restore{33908FD9-9715-416E-A6E2-651B375BDEBB}\RP31\A0029980.EXE --> Eliminado, Dialer-RAS.DE

C:\System Volume Information\_restore{33908FD9-9715-416E-A6E2-651B375BDEBB}\RP39\A0031134.EXE --> Eliminado, Dialer-RAS.DE

C:\System Volume Information\_restore{33908FD9-9715-416E-A6E2-651B375BDEBB}\RP40\A0031415.EXE --> Eliminado, Dialer-RAS.DE

C:\System Volume Information\_restore{33908FD9-9715-416E-A6E2-651B375BDEBB}\RP41\A0031693.EXE --> Eliminado, Dialer-RAS.DE

C:\System Volume Information\_restore{33908FD9-9715-416E-A6E2-651B375BDEBB}\RP47\A0032008.EXE --> Eliminado, Dialer-RAS.DE

C:\System Volume Information\_restore{33908FD9-9715-416E-A6E2-651B375BDEBB}\RP50\A0033475.EXE --> Eliminado, Dialer-RAS.DE

C:\System Volume Information\_restore{33908FD9-9715-416E-A6E2-651B375BDEBB}\RP51\A0033516.EXE --> Eliminado, Dialer-RAS.DE

C:\System Volume Information\_restore{33908FD9-9715-416E-A6E2-651B375BDEBB}\RP71\A0044959.EXE --> Eliminado, Dialer-RAS.DE

C:\System Volume Information\_restore{33908FD9-9715-416E-A6E2-651B375BDEBB}\RP71\A0044960.DLL --> Eliminado, CyDoor

C:\Sierra\Print Artist 8\LTVEC11N.OCX --> Eliminado, NavHelper (BHO)
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 30 Ene 2007, 17:38

El que causa la falsa alerta es el ctpmon.exe, que pasamos a controlar y eliminar en la nueva version de hoy del ELISTARA 13.22 como FAKE ALERT



y el otro svhostz1.exe parece ser un downloader aun no controlado, que pasaremos tambien a incluir en la misma version del ELISTARA



Probar dicha nueva version a partir de las 20 h e informarnos del resultado, gracias



saludos



ms, 30-01-2007
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”