hijackthis

Racsoa · Mensaje por **Racsoa** » 21 Feb 2007, 23:57

A ver si me echais una mano

Logfile of HijackThis v1.99.1

Scan saved at 22:58:32, on 21/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\Iexplore.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\FlashGet\flashget.exe

C:\Documents and Settings\owner\Escritorio\Windows-KB890830-V1.26.exe

c:\65cdacf92b5af000af9b5df31194\mrtstub.exe

C:\WINDOWS\system32\MRT.exe

C:\DOCUME~1\owner\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\MANTEN~1\SPYWARE\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll

O3 - Toolbar: (no name) - {60F763AE-3BB9-4AC9-8B0D-27D461FCD4F5} - (no file)

O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [BDMCon] "C:\Archivos de programa\Softwin\BitDefender10\bdmcon.exe" /reg

O4 - HKLM\..\Run: [BDAgent] "C:\Archivos de programa\Softwin\BitDefender10\bdagent.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [Systweak Memory Optimizer] c:\archivos de programa\mantenimientopc\utilidades\advanced system optimizer\memtuneup.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\KEM.exe

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: &Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: &Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: Casino Del Rio - {45FD16E0-0BC3-4774-AD53-228976E8C19F} - C:\Archivos de programa\MANTENIMIENTOPC\Oscar\CASINOS\Casino Del Rio\casino.exe

O9 - Extra 'Tools' menuitem: Casino Del Rio - {45FD16E0-0BC3-4774-AD53-228976E8C19F} - C:\Archivos de programa\MANTENIMIENTOPC\Oscar\CASINOS\Casino Del Rio\casino.exe

O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Archivos de programa\MANTENIMIENTOPC\Oscar\CASINOS\Europa Casino\casino.exe

O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Archivos de programa\MANTENIMIENTOPC\Oscar\CASINOS\Europa Casino\casino.exe

O9 - Extra button: Carnival Casino - {776883A9-1EA8-4d8f-88B7-AA652FEF01A7} - C:\Archivos de programa\MANTENIMIENTOPC\Oscar\CASINOS\Carnival Casino\casino.exe

O9 - Extra 'Tools' menuitem: Carnival Casino - {776883A9-1EA8-4d8f-88B7-AA652FEF01A7} - C:\Archivos de programa\MANTENIMIENTOPC\Oscar\CASINOS\Carnival Casino\casino.exe

O9 - Extra button: Vegas Red Casino - {D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - C:\Archivos de programa\MANTENIMIENTOPC\Oscar\CASINOS\Vegas Red Casino\casino.exe

O9 - Extra 'Tools' menuitem: Vegas Red Casino - {D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - C:\Archivos de programa\MANTENIMIENTOPC\Oscar\CASINOS\Vegas Red Casino\casino.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab

O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{683A9CB8-DB1F-424F-B1EC-7966976B262B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{C11B40DF-366D-41DC-A4F9-D78FABC289DA}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - Unknown owner - (no file)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Unknown owner - C:\Archivos de programa\iPod\bin\iPodService.exe (file missing)

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender10\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Nuker · Mensaje por **Nuker** » 22 Feb 2007, 03:01

Esta infectado por el SOBE.AG...

c:\65cdacf92b5af000af9b5df31194\[color=red]mrtstub.exe [/color]

C:\WINDOWS\system32\[color=red]MRT.exe [/color]

--------------------

Elimine estas claves del HJT y pase estas herramientas todo esto lo hace en modo seguro.

Eliminar (Fix Checked):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: (no name) - {60F763AE-3BB9-4AC9-8B0D-27D461FCD4F5} - (no file)

Pasese estas herramientas en modo seguro, descarguelas, guardelas y ejecutelas en modo seguro:

ELISOBEA:

http://www.zonavirus.com/datos/descargas/103/elisobeaexe.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

En caso de que fuera nueva variante y le pida muestras o no fuera detectado enviar muestras en rojo arriba en el post para su analisis y neutralizacion.

Como Enviar?:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Modo Seguro:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Mensaje por **msc hotline sat** » 22 Feb 2007, 07:28

Tienes en proceso estos dos ficheros:

C:\Documents and Settings\owner\Escritorio\Windows-KB890830-V1.26.exe

c:\65cdacf92b5af000af9b5df31194\mrtstub.exe

lo cual es atipico. Si no es voluntaria dicha ejecucion, envianos muestra para analizarlos

No sé si lo que indica Nuker sobre el Sober lo controlamos ...

y como ya dice para algunas, eliminar estas claves:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: (no name) - {60F763AE-3BB9-4AC9-8B0D-27D461FCD4F5} - (no file)

O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citri x/wficat-no-eula.cab

O23 - Service: BrSplService (Brother XP spl Service) - Unknown owner - (no file)

y dinos si instalaste esta aplicacion:

C:\Archivos de programa\MANTENIMIENTOPC\Oscar\CASINOS\Casino Del Rio\casino.exe

De lo contrario envianos tambien el fichero y procederemos en consecuencia

recordar: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

saludos

ms, 22-02-2007

Nota: La primera clave indicada por Nuker, R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

puede ser voluntaria, para que esta maquina no haga proxy, al apuntar al LOCAL HOST. En tal caso, no la elimine, pero si lo ha hecho no pasa nada, solo que no queda bloqueada dicha posibilidad

justpriest · Mensaje por **justpriest** » 25 Feb 2007, 07:25

Logfile of HijackThis v1.99.1

Scan saved at 11:23:29 p.m., on 24/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

[size=200] I N T E R V E N I D O [/size]

POR

[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]

no deben mezclarse logs de 2 ordenadores en un mismo Tema.

https://foros.zonavirus.com/viewtopic.php?t=6268

Posteelo en Tema aparte, tras seguir las instrucciones:

https://foros.zonavirus.com/viewtopic.php?t=5148

Mensaje por **msc hotline sat** » 25 Feb 2007, 10:18

y sobre todo, antes de volver a postear un nuevo log de HJT lance estas utilidades:

(tambien sobre su pendrive !!!, que está infectado)

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 25-02-2007

hijackthis

hijackthis

Re: hijackthis/