No puedo eliminar Win32:Horst-GH[trj] (SOLUCIONADO)

[xaica]

Hola, tengo un troyano hace dias en mi pc y no tengo forma de elimiarlo.He pasado el avast y lo detecta dice que lo elimina pero sigue aun alli,con el spy sweeper lo mismo,concretamente el troyano manda correos continuamente desde mi cuenta de correo y se me ralentiza mucho el ordenador,es desesperante no saber que hacer,podrian ayudarme a solucionarlo?

Gracias de antemano y disculpen las molestias .

[flacoroo]

No es una molestia, nos alegra que confíes en nosotros y trataremos de ayudarte.....

Bajate estos programas y reiniciando tu computadora en modo seguro los ejecutas, no si antes de deshabilitar restaurar sistema y haber borrados archivos temporales....

elistara
elinotif
elitriip

ya después se creara un archivo en C: InfoSat.txt copialo en tu siguiente post

[msc hotline sat]

Solo hay 250.000 para adivinar el que es...

Si sabes el nombre del fichero infectado, envianos muestra para analizar: viewtopic.php?f=2&t=45334

sino, posteanos el log del HJT:

HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

saludos
ms, 7-02-2007

[xaica]

Gracias por la rapidez en contestar flacoroo y msc hotline sat, hice las dos cosaas que me indicasteis ambos,dejo el log que me salio de hijackthis, y en el de elistara y elinotif ok?
Gracias de nuevo.

Logfile of HijackThis v1.99.1
Scan saved at 16:10:21, on 07/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Archivos de programa\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\ARCHIV~1\GENIUS~1\mouseElf.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\xaica\Escritorio\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [MBM 5] "C:\Archivos de programa\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\GENIUS~1\mouseElf.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Descargar TODO con FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/clients/y/t21t0_x.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: Yahoo! Dominoes - http://download2.games.yahoo.com/games/clients/y/dot9_x.cab
O16 - DPF: Yahoo! MahJong - http://download.games.yahoo.com/games/clients/y/ot0_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst4_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/games/clients/y/ywt0_x.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119812757828
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - Unknown owner - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

Wed Feb 07 15:39:49 2007
EliStartPage v13.27 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com
Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com
Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com
Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com
Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com
Linea Eliminada del HOSTS --> 127.0.0.1 lop.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com
Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net
Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com
Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com
Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Wed Feb 07 15:40:08 2007
EliStartPage v13.27  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\OFOTONOW.SCR --> Eliminado, DriverLoad (Clicker.Delf.CN)
C:\Documents and Settings\xaica\Escritorio\largopolleces\Nueva carpeta (5)\ANCIENT-SUDOKU-SETUP.EXE --> AutoExtraible
C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\BOONTY.EXE --> Eliminado, Boonty Games
C:\Archivos de programa\Ofoto\OfotoNow\OFOTONOW.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
C:\Archivos de programa\MemoriesOnTV\plugins\CONTRAST.DLL --> Eliminado, Dumaru BDoor-CCT
C:\Archivos de programa\Jewel Quest\UNINSTALL.EXE --> AutoExtraible

	  Wed Feb 07 15:49:02 2007
EliTriIP v3.13  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SMSS.EXE.Muestra EliTriIP v3.13
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] ".nvsvc"=""C:\WINDOWS\system\smss.exe" /w"

	  Wed Feb 07 15:49:32 2007
EliTriIP v3.13  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
C:\WINDOWS\system32\drivers\SSFS0509.sys --> Eliminado, RootKit
C:\Documents and Settings\xaica\Mis documentos\largo\juegos\Nueva carpeta\7 Wonders of the Ancient World 1.04.exe --> Eliminado, Bifrose (dropper)

[msc hotline sat]

Elimina estas claves:
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe (file missing) - (aunque no es virica es un resto del antivirus de Norton que habias tenido, ya que ahora usas AVAST
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/se ... loader.cab

y aunque hemos movido el SMSS.EXE virico a cuarentena (C:\muestras), y ya esta fuera de circulacion, envianos esta muestra para su analisis y control.

Por favor, envienos una muestra del fichero -> C:\Muestras\SMSS.EXE.Muestra EliTriIP v3.13

Tras recibirla, la analizaremos e implementaremos su control y eliminación en la siguiente version del ELITRIIP, que deberás ejecutar para limpiar restos.

viewtopic.php?f=5&t=764


saludos
ms, 7-02-2007

[xaica]

Muchisimas gracias, elimine las claves que me indicasteis asi como la muestra ,pasare de nuevo el avast a ver que tal ahora :)

[msc hotline sat]

Pues tras reiniciar comentanos el resultado y si no persiste ninguna anomaia , procederiamos a considerar solucionado el Tema



saludos



ms, 7-02-2007

[xaica]

Perdon no pude contestra hasta ahora ;(, reiniciado y pasado el antivirus,todo limpio.

Muchisimas gracias por vuestra ayuda,sois estupendos.

Como sabre que ya esta añadida mi muestra a elistara para pasarlo yo de nuevo?

[lucl]

Pues nos alegramos de que tu pc este bien xaica y esperamos que msc de el tema por solucionado, y en cuanto a tu consulta msc te contestara en el post directamente si es un virus diferente o si no lo es, no te preocupes, seguro que ahora estan analizando todos los que les envian, saludos.

[msc hotline sat]

Recibida la muestra solicitada en:



Wed Feb 07 15:49:02 2007

EliTriIP v3.13 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v3.13



resulta ser, como suponiamos, una nueva variante del backdoor CMQ que pasamos a controlar con la version de hoy del ELITRIIP V 3.15



Esta noche, a partir de las 20 h, descarga y prueba esta nueva version, que ya eliminará los restos de este gusano y restaurará las claves modificadas por el mismo



saludos



ms, 8-02-2007

[xaica]

Ya he pasado la nueva version de elitrip y me saco lo poco que quedaba(la muestra vamos),os dejo el informe(no se si debo hacerlo pero como soy algo "pato" lo pongo :) )





Thu Feb 08 20:06:51 2007

EliTriIP v3.15 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\SMSS.EXE.Muestra EliTriIP v3.13 --> Eliminado, BackDoor.CMQ (dropper)



Muchisimas gracias de nuevo por vuestra ayuda, es la segunda vez que me salvais el cuello con esto de los dichosos virus,sois geniales :)

[lucl]

pues parece que ha salido bien, mira



C:\Muestras\SMSS.EXE.Muestra EliTriIP v3.13 --> Eliminado, BackDoor.CMQ (dropper)



ahora solo queda esperar que msc ponga el "solucionado" y listos. :D

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos
ms, 7-02-2007