a ver si m echais una mano...

[a_fuentes84]

[b]os dejo aki el log d hijackthis a ver si m podeis ayudar a quitar un troyano...dowloader se llama. q m sta dejando el ordenador algo "tocado" y no se como quitarlo.[/b]

Logfile of HijackThis v1.99.1

Scan saved at 23:09:30, on 26/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Propietario\Mis documentos\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 8\SnagItIEAddin.dll

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - HKLM\..\Run: [KAV50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0

O4 - HKLM\..\RunServices: [APVXD] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Startup: The Matrix_ Path of Neo Registration.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lasmasqueperras.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by132fd.bay132.hotmail.msn.com/activex/HMAtchmt.ocx

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: KLBLMain - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe

[Nuker]

Mientras le analizo el log, pruebe Elistara que conoce varios Downloaders, lo pasa en Modo Seguro, al terminar con el escaneo le creara un log en Unidad C, con el nombre de infoSat.txt, copie contenido y lo pega aqui.



Elistara:



http://www.zonavirus.com/descargas/elistara.asp



Modo Seguro:



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Procedo a analizar...

[Nuker]

Eliminate estas basuras con (Fix Checked):



O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)





-----------------

Mencionas que tu maquina esta lenta, te has dado cuenta que tienes 2 antivirus ? Desinstala uno ya sea el Kaspersky o el Avast! Los 2 son buenos asi es que cualquiera que sea es bueno.

[msc hotline sat]

Y veo residente Kaspersky y Avast simultaneamente...


[quote] ... C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe





C:\WINDOWS\system32\ctfmon.exe

Very safe

This entry was classified from our visitors as good.

C:\Archivos de programa\Messenger\msmsgs.exe

Safe

MSN Messenger

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe





C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe



Avast Antivirus-Scanner

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe ...
[/quote]

No debe haber mas que uno,. Desinstale el otro.



saludos



ms, 3-04-2007

[a_fuentes84]

[b]aki va el log de elistart[/b]



Mon Feb 27 14:41:14 2006

EliStartPage v13.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\NDNUNINSTALL6_98.EXE --> Eliminado NewDotNet Uninst

Por favor, envienos una muestra del fichero

C:\Muestras\MSN.EXE.Muestra EliStartPage v13.68

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSN.EXE --> Eliminado

Eliminada Class, "{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}" -> C:\Archivos de programa\NewDotNet\newdotnet6_98.dll

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminada Carpeta "%Archivos de Programa%\NewDotNet"

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Feb 27 15:17:53 2006

EliStartPage v13.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Feb 27 15:18:35 2006

EliStartPage v13.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor

C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL --> Eliminado, FakeAlert

C:\Archivos de programa\Motorola Phone Tools\MPT_TEST_INFO.EXE --> Eliminado, Shorty (dropper)

C:\Program Files\Chess 98\INSTALL.EXE --> Eliminado, DownLoader.Vixup

[msc hotline sat]

Pues bien que te ha ido el ELISTARA !!! ha detectado y eliminado troyanos en cantidad !



Dinos ahora si persiste alguna anomalia o ya podemos dar el Tema por solucionado





E independientemente a ello, CAMBIA LA FECHA DE TU ORDENADOR !!! En el infosat se ve que tenias 27 de Febrero cuando la 13.68 es del 30 de Marzo, asi que VAS MAS DE 1 MES ATRASADO :lol:



saludos



ms, 3-04-2007



y otra vez ten cuidado con el titulo: https://foros.zonavirus.com/viewtopic.php?f=1&t=1307

[a_fuentes84]

de momento parece q bien....:D muchas gracias!!!!!

[lucl]

perdonad la intromision, pero el elistara solicita esto



Por favor, envienos una muestra del fichero

C:\Muestras\MSN.EXE.Muestra EliStartPage v13.68

a "virus@satinfo.es". Gracias.



si no lo has enviado hazlo por favor de este modo, saludos



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[msc hotline sat]

Gracias lucl, me habia pasado por alto



Y de parecido nombre (del messenger, nos ha llegado hoy una muestra que todavia no controla ni ANTIVIR, ni AVAST, ni BIT DEFENDER, ni NOD32, ni SYMANTEC, y del que, puestos a comentar, voy a daros detalles en NOTICIAS DE INTERES, que quizas a nuker le va a interesar ...



se llama el fichero MSNMSGS.EXE , os suena ???



pues os adelanto el analisis de VIRUS TOTAL que todavia tengo en el portapapeles:


[quote]ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "msnmsgs.exe" que VirusTotal ha recibido el día 03.04.2007 a las 16:29:50 (CET).



Antivirus Version Actualización Resultado

AhnLab-V3 2007.4.4.0 03.04.2007 no ha encontrado virus

AntiVir 7.3.1.48 03.04.2007 no ha encontrado virus

Authentium 4.93.8 31.03.2007 no ha encontrado virus

Avast 4.7.936.0 03.04.2007 no ha encontrado virus

AVG 7.5.0.447 03.04.2007 PSW.Banker3.HUA

BitDefender 7.2 03.04.2007 no ha encontrado virus

CAT-QuickHeal 9.00 03.04.2007 (Suspicious) - DNAScan

ClamAV devel-20070312 03.04.2007 no ha encontrado virus

DrWeb 4.33 03.04.2007 no ha encontrado virus

eSafe 7.0.15.0 03.04.2007 Suspicious Trojan/Worm

eTrust-Vet 30.6.3536 03.04.2007 no ha encontrado virus

Ewido 4.0 03.04.2007 no ha encontrado virus

FileAdvisor 1 03.04.2007 no ha encontrado virus

Fortinet 2.85.0.0 02.04.2007 no ha encontrado virus

F-Prot 4.3.1.45 30.03.2007 no ha encontrado virus

F-Secure 6.70.13030.0 03.04.2007 Trojan-Spy.Win32.Bancos.zz

Ikarus T3.1.1.3 03.04.2007 Email-Worm.Win32.Indor

Kaspersky 4.0.2.24 03.04.2007 Trojan-Spy.Win32.Bancos.zz

McAfee 4998 02.04.2007 PWS-Banker.gen.j

Microsoft 1.2306 03.04.2007 no ha encontrado virus

NOD32v2 2166 03.04.2007 no ha encontrado virus

Norman 5.80.02 03.04.2007 no ha encontrado virus

Panda 9.0.0.4 03.04.2007 Bck/Bancodor.BH

Prevx1 V2 03.04.2007 MyTob.MsnMsgs

Sophos 4.16.0 30.03.2007 Troj/Bancos-BBO

Sunbelt 2.2.907.0 03.04.2007 VIPRE.Suspicious

Symantec 10 03.04.2007 no ha encontrado virus

TheHacker 6.1.6.084 02.04.2007 no ha encontrado virus

VBA32 3.11.3 03.04.2007 suspected of Malware.VB.9

VirusBuster 4.3.7:9 03.04.2007 no ha encontrado virus

Webwasher-Gateway 6.0.1 03.04.2007 Win32.Malware.gen#Petite!92 (suspicious)





Información adicional

Tamaño archivo: 68028 bytes

MD5: acc5372b1b80ddc81e5fa0af6da88ce3

SHA1: 0f9b2daf5ba45c6d22a92abcfba3b13836bddf77
[/quote]

voy a editar el Tema en cuestion, pero lo que hace: si lo ejecutas presenta una pantalla de entrada al MSN, en la que entras datos de usuarioo, contraseña, y tras ello da error... y envia los datos al hacker, claro ! suerte que está por ahora la pantalla está en portugués, pero ya llegará en otros idiomas, seguro !



Postearé la captura de pantalla en el otro Tema, para no liar este: https://foros.zonavirus.com/aqui-vp92092.html#92092



saludos



ms, 3-04-2007



nota: el ELISTARA de hoy, 13.69, ya lo controlará y eliminará, claro.

[Claudia34]

Hola, ademas de lo dicho anteriormente haz una actualizacion de tu sistema operativo o sea ( windows update) en forma urgente. Y siempre mantenlo actualizado. Saludos.

[Nuker]

Exactamente!!!, como se aprende en este foro ehh :lol:





Windows Update:

https://support.microsoft.com/es-es/help/12373/windows-update-faq



Saludos Claudia.

[Claudia34]

Y bueno con unos buenos maestros como msc hotline sat, Facoroo y Nuker siempre se aprende bastante. Ademas uno se siente bien ayudando. Saludos.

[msc hotline sat]

A buen entendedor...



Ya pronto te podremos dejar sola ante el peligro :lol: :lol: :lol:



saludos



ms, 4-04-2007

[Claudia34]

No por favor todavia es muy temprano, todavia las alas no estan prontas para remontar. Saludos.

[msc hotline sat]

Pues mira a lucl, que ya está volando sola, se pega algunos porrazos, pero así se aprende !



Nadie nace enseñado, y como dice flacoroo:



"¿ Por qué se cae uno.....?...Para poder aprender a levantarse ¡¡¡¡¡¡¡¡¡ "



saludos y Felices Pascuas, pues supongo que por aqui tambien se celebra la Semana Santa y demas ???



ms, 6-04-2007