Problemas varios con troyanos

[Madison]

Hola de nuevo a todos, tengo el vundo, el Conhook, otro que es el VBStat.h, el Winfixer, he pasado de todo ya, os pego el Hijackthis a ver que veis por ahí.



Logfile of HijackThis v1.99.1

Scan saved at 19:31:27, on 20/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\ehome\mcrdsvc.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\eHome\ehmsas.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Admin\LOCALS~1\Temp\Rar$EX01.078\HijackThis.exe

C:\Program Files\Internet Explorer\iexplore.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.googel.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] C:\WINDOWS\system32\0106.exe

O4 - HKLM\..\Run: [012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678912345678] C:\Program Files\user32.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SDR6Y_Check] "C:\Program Files\Common Files\DriveCleaner 2006 Free\sdrmon.exe"

O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /Service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /Service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Decirme si tengo que mandaros algo más porque estoy perdida.



Saludosssssssss :wink:

[lucl]

Bueno pues descargate estos programas, y el [b]elinotfill[/b] lo pondras en la misma carpeta que [b]elistara[/b], luego ejecutas elistara en modo seguro y te quitara el vundo, ademas de algun otro de los que nombras, pasate tambien elitriip , y nos pegas el log que te dejaran en C llamado infosat.txt. Antes de ponernos respuesta reinicia el equipo para que se apliquen los cambios, pasalos todos ellos arrancando el pc en modo seguro, saludos





http://www.zonavirus.com/descargas/elinotif.asp



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp

[Madison]

Instalada Utilidad "ELINOTIF.DLL"



Sat Apr 21 18:30:48 2007

EliTriIP v3.49 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sat Apr 21 18:30:54 2007

EliTriIP v3.49 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Admin\Desktop\Incoming\windows updater\Windows Genuine Advantage Validation Cracks- Bill Gates Toolkit Reloaded!!!\Windows Genuine Validation bypass.exe --> Eliminado, Bifrose (dropper)



EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\pmnljgd.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\pmnljgd"

Detectado PsapiAnalyzer

C:\WINDOWS\$NTUNINSTALLKB911567$\WVGA.DLL -> Eliminado.

Elininada KEY "Winlogon\Notify\wvga"

Desinstalado EliNotif.dll



EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\pmnljgd"

Detectado PsapiAnalyzer

Elininada KEY "Winlogon\Notify\wvga"

Desinstalado EliNotif.dll



EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\pmnljgd"

Detectado PsapiAnalyzer

Elininada KEY "Winlogon\Notify\wvga"

Desinstalado EliNotif.dll



EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\pmnljgd"

Detectado PsapiAnalyzer

Elininada KEY "Winlogon\Notify\wvga"

Desinstalado EliNotif.dll



EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\pmnljgd"

Detectado PsapiAnalyzer

Elininada KEY "Winlogon\Notify\wvga"

Desinstalado EliNotif.dll



EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\pmnljgd"

Detectado PsapiAnalyzer

Elininada KEY "Winlogon\Notify\wvga"

Desinstalado EliNotif.dll



EliNotify v1.7.04.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\pmnljgd"

Detectado PsapiAnalyzer

Elininada KEY "Winlogon\Notify\wvga"

Desinstalado EliNotif.dll





¿tengo que mandaros muestras o algo??



Tb me sale hace unos días algo que dudo si será un troyano: un mensaje con que tengo una copia no valida de windows, con una estrella azul que está permanente en la barra de herramientas de abajo, y que no se puede quitar: windows genuine advantage, creo que sí lo es porque el eliptrip me lo detectó, aunque aquí sigue, así que no se si lo eliminó.



Saludosssssssssssss :wink:

[msc hotline sat]

Esruvo muy acertada lucl con sus indicaciones !



Solo elimina esta clave:



O4 - HKLM\..\Run: [SDR6Y_Check] "C:\Program Files\Common Files\DriveCleaner 2006 Free\sdrmon.exe"





Y ENVIANOS EL FICHERO:



C:\Program Files\Common Files\DriveCleaner 2006 Free\sdrmon.exe





para ello, recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Y esperamos que desaparezca el icono en cuestion, sino con el analisis de la muestra enviada, implkeemntaremos su control y eliminacion en la nueva version del ELISTARA



saludos



ms, 22-04-2007

[Madison]

Hola de nuevo, ya debí eliminar todos los problemas con todas las pasadas que le pegué a los anti-spy, eliptrip, elistara, y seguro que alguno más, porque me llevó unos días, y ya no aparecen esas entradas, así que creo que problema resuelto, gracias de nuevo, podemos cerrar el tema.



Saludosssssssssssssssssssssssssss :wink:

[msc hotline sat]

De todas formas, vea si aun tiene este fichero y envienoslo:



C:\Program Files\Common Files\DriveCleaner 2006 Free\sdrmon.exe





Es importante para controlarlo en proximas versiones del ELISTARA



saludos



ms, 22-04-2007