extrañas entradas, winlogon, realentización

[The_Maxter]

veamos, ultimamente he visto en el spybot search & destroy unas extrañas entradas en el inicio del sitema:

la clave de estas entradas es winlogon i el valor es:

crypt32chain

cryptnet

cscdll

ScCertProp

Schedule

sclgntfy

SensLogn

termsrv

wlballoon



yo borro estas entradas del registro pero vuelven a aparecer, (supongo que por algun proceso) pero busco en el administrador de procesos y no encuentro nada fuera de lo normal, podriais ayudarme porfavor, ultimamente, cuando inicio el pc, me da errores de memoria y el wuault se desestabiliza y chupa recursos enormemente, y por lo tanto cada vez que inicio el sistema tengo que cerrar el proceso.

[msc hotline sat]

Posteenos log del HJT y lo analizaremos:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 27-02-2007

[The_Maxter]

Logfile of HijackThis v1.99.1

Scan saved at 19:41:53, on 27/2/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\Explorer.EXE

E:\Archivos de programa\WMonitor\WLService.exe

E:\Archivos de programa\WMonitor\WLanCfgG.exe

E:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

E:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

E:\WINDOWS\system32\nvsvc32.exe

E:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

E:\WINDOWS\system32\svchost.exe

E:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

E:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

E:\archivos de programa\asus\AsusProb.exe

E:\Archivos de programa\Labtec\moffice.exe

E:\Archivos de programa\Labtec\MOUSE32A.DAT

E:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

E:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

E:\WINDOWS\SOUNDMAN.EXE

E:\Archivos de programa\Ashampoo\Ashampoo FireWall\FireWall.exe

E:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

E:\Archivos de programa\Mozilla Firefox\firefox.exe

E:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

E:\Archivos de programa\Citrus Alarm Clock\citrusac.exe

E:\Archivos de programa\internet explorer\IEXPLORE.EXE

E:\Documents and Settings\Maxter\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\Archivos de programa\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [ASUS Probe] e:\archivos de programa\asus\AsusProb.exe

O4 - HKLM\..\Run: [MessengerPlus3] "E:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Ashampoo FireWall] "E:\Archivos de programa\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY

O4 - HKLM\..\Run: [avast!] E:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\RunOnce: [SpybotSnD] "E:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix

O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Citrus Alarm Clock] E:\Archivos de programa\Citrus Alarm Clock\citrusac.exe

O4 - HKCU\..\Run: [Steam] "e:\archivos de programa\valve\steam\steam.exe" -silent

O4 - HKCU\..\Run: [ccleaner] "E:\Archivos de programa\CCleaner\ccleaner.exe" /AUTO

O8 - Extra context menu item: &Download All by FlashGet - E:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download using FlashGet - E:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://E:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Archivos de programa\Java\jre1.5.0_07\bin\npjpi150_07.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Archivos de programa\Java\jre1.5.0_07\bin\npjpi150_07.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: e:\archivos de programa\ashampoo\ashampoo firewall\spi.dll

O10 - Unknown file in Winsock LSP: e:\archivos de programa\ashampoo\ashampoo firewall\spi.dll

O10 - Unknown file in Winsock LSP: e:\archivos de programa\ashampoo\ashampoo firewall\spi.dll

O10 - Unknown file in Winsock LSP: e:\archivos de programa\ashampoo\ashampoo firewall\spi.dll

O10 - Unknown file in Winsock LSP: e:\archivos de programa\ashampoo\ashampoo firewall\spi.dll

O10 - Unknown file in Winsock LSP: e:\archivos de programa\ashampoo\ashampoo firewall\spi.dll

O12 - Plugin for .spop: E:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5996F8ED-AAFC-43B8-977C-6FB050BAF668}: NameServer = 80.58.0.33

O17 - HKLM\System\CCS\Services\Tcpip\..\{64736EB7-FB40-4A1B-8E67-6539BB132FA0}: NameServer = 80.58.0.33

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - E:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - E:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: 54Mbps Wireless Network Service (54Mbps Wireless Network) - Unknown owner - E:\Archivos de programa\WMonitor\WLService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Autodesk - E:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - Unknown owner - E:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - E:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - E:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - E:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPH11 - HP - E:\WINDOWS\system32\HPHipm11.exe

O23 - Service: Promise RAID message agent (RAIDmAgt) - Unknown owner - E:\Archivos de programa\Promise\Utility\MsgAgt.exe (file missing)

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[lucl]

HOla puedes hacer fix cheked a estas entradas



O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)





O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)



y el mesenger plus3 deberias desinstalarlo



mirate esto tambien pero leete bien el manual para las lsp



[url=http://www.zonavirus.com/descargas/lsp-fix.asp][b]Descargar LSP-FIX[/b][/url]



· [url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp][b]Manual LSP-FIx[/b][/url] (Español)



saludos

[The_Maxter]

muchas gracias, avisare del resultado cuando lo haya hecho todo^^

[flacoroo]

bajate los siguientes programas [url=http://www.zonavirus.com/descargas/elinotif.asp]Elinotif[/url], [url=http://www.zonavirus.com/descargas/elitriip.asp]elitriIP[/url], [url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url] los ejecutas reiniciando tu compu en modo seguro y despues nos posteas el archivo que se crea en C: Info.txt

[The_Maxter]

me podrias explicar como uso el elinotif, tengo el dll pero como le doy uso¿?

P.D.: el elistara y el elitriip no han encontrado nada, pero el proceso wuaucl se me pone a 50% del uso de cpu cada vez que inicio, no puede ser un conflicto,error de ese proceso¿

y si puede ser un problema con ese proceso, como puedo arreglarlo¿

[lucl]

el elinotif debes meterlo en una misma carpeta con el elistara, y ejecutar el [b]elistara[/b] pues son complementarios saludos

[The_Maxter]

vale, tengo puesto en la misma carpeta los dos archivos: E:/

pero no me a creado el achivo de log, debido a que mi disco duro no es c:/ sino que es e:/ (debido a un problema de hardware, no e conseguido renombrar al disco duro, no me iniciaba bien) por lo tanto no se si me creara el archivo de log

[lucl]

dices mas arriba que el elitriip y elistara no han encontrado nada, entonces vistes el log? y no creo sea problema aunque elistara lo llamase c y fuera e yo creo que lo analizaria igual, pasalo y cuentanos que ocurre saludos

nota: y si te analizaron elistara y elitriip en algun lado tiene que estar el log, busca por infosat a ver si lo encuentras, saludos

[The_Maxter]

a ver, he pasado los dos y no me a encontrado nada, osea, que cuando acaba de explorar, dice que no a encontrado ningun archivo infectado, reinicio, y nada del log, pero el wuaucl sigue poniendose a 50% de cpu y todas estas entradas siguen apareciendo aunque las borre.

la clave de estas entradas es winlogon i el valor es:

crypt32chain

cryptnet

cscdll

ScCertProp

Schedule

sclgntfy

SensLogn

termsrv

wlballoon

las veo por el spybot:S&D

sabes que es o como quitarlas?

[Nuker]

Oye lucl, estas entradas se tienen que reparar ?



O10 - Unknown file in Winsock LSP: e:\archivos de programa\ashampoo\ashampoo firewall\spi.dll

O10 - Unknown file in Winsock LSP: e:\archivos de programa\ashampoo\ashampoo firewall\spi.dll

O10 - Unknown file in Winsock LSP: e:\archivos de programa\ashampoo\ashampoo firewall\spi.dll

O10 - Unknown file in Winsock LSP: e:\archivos de programa\ashampoo\ashampoo firewall\spi.dll

O10 - Unknown file in Winsock LSP: e:\archivos de programa\ashampoo\ashampoo firewall\spi.dll

O10 - Unknown file in Winsock LSP: e:\archivos de programa\ashampoo\ashampoo firewall\spi.dll





Por que se ve que tiene ese firewall activo...



E:\Archivos de programa\Ashampoo\Ashampoo FireWall\FireWall.exe



Porfavor dime por que se deben reparar...



--------------------------------



Y esta clave es MALWARE:



E:\Archivos de programa\Citrus Alarm Clock\[b]citrusac.exe[/b]



Envianos el fichero en NEGRITAS para su analisis y neutralizacion. Al terminar con el envio renombra este fichero a .vir ejemplo (citrusac.vir)



Y elimina esta (fix checked), con hijack this en modo seguro:



O4 - HKCU\..\Run: [Citrus Alarm Clock] E:\Archivos de programa\Citrus Alarm Clock\citrusac.exe



Nos comentas si hay alguna mejoria, y esperemos resultados..



COMO ENVIAR FICHEROS ?:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



MODO SEGURO:



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

[msc hotline sat]

Contesto yo por lucl:



Los O10 no deden ser eliminados, pero los indicados por el HJT deben restaurarse, sino ya no los presentaría.



Recordar el tutorial:



https://foros.zonavirus.com/viewtopic.php?f=13&t=11007



y especialmente :



--------------------------------------------------------------------------------



Sección O10



Esta sección corresponde a los Hijackers del Winsock, también conocidos como LSP (Layered Service Provider). Los LSPs son una manera de unir un software a tu implementación Winsock 2 en tu computadora. Desde que los LSPs están encadenados, cuando el Winsock es usado, los datos también son transportados a través de cada LSP en la cadena. Los spywares y hijackers pueden usar los LSPs para ver todo el tráfico que se genera en tu conexión a Internet.



Extrema precauciones cuando borres estos objetos, si es removido sin el arreglo adecuado en la cadena, puedes llegar a perder tu acceso a Internet.



Ejemplo de la Lista O10 - Broken Internet access because of LSP provider 'spsublsp.dll' missing



Muchos escaneadores de virus empiezan a escanear virus, troyanos, etc., al nivel del Winsock. El problema es que muchos de ellos no reordenan los LSPs en el orden correcto después de borrar el LSP problemático. Esto puede causar que HijackThis vea un problema y muestre una advertencia, la cuál puede ser similar al ejemplo de arriba, aunque de hecho el Internet sigue trabajando. Deberías consultar a un experto cuando arregles estos errores. También puedes usar LSPFix para arreglar esto.



SpyBot generalmente puede arreglar esto pero asegúrate de que tienes la última versión, ya que las antiguas tienen problemas. También hay una herramienta diseñada para este tipo de ediciones que sea probablemente mejor usar, llamada LSPFix (http://www.cexx.org/lspfix.htm). Para una lista de LSP y saber si son o no válidas puedes visitar la Lista de LSP de Zupe (http://www.angeltowns.com/members/zupe/lsps.html).





--------------------------------------------------------------------------------



saludos



ms, 28.02.2007



nota: De las claves del registro, el HJT solo visualiza las que considera oportunas, pero segun el contenido las hay que son mostradas o no, para poder obrar en consecuencia. ms.

[The_Maxter]

el citrus alarm clock es un programa alarma, osea un despertador para el ordenador, seguro que es malware?, volviendo al tema, deberia borrar los O10 o es preferible que cambie de firewall¿?, i sobre las entradas que me aparecen en el inicio del sistema bajo clave de winlogon, como lo quito?(estaban antes de que instalara el firewall)

[msc hotline sat]

Le pediamos que nos enviara un fichero al respecto. ¿Lo ha hecho?



E:\Archivos de programa\Citrus Alarm Clock\citrusac.exe



En cuanto lo recibamos podremos contestarle



saludos



ms, 1-03-2007



recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[msc hotline sat]

Buscando informacion de dicho fichero por nombre puede ser lo indicado, pero veamos su contenido ...



y ya puestos, podría decirnos si sabe lo que es este proceso ???:



E:\Archivos de programa\Labtec\MOUSE32A.DAT



saludos



ms, 1-03-2007