Tengo un troyano

fraile_teresa · Mensaje por **fraile_teresa** » 19 May 2007, 12:22

Hola, buenas.

Este otro pc me va fatal, paso el elistara y me dice lo siguiente

Sat May 19 11:02:31 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\IBM00001.DLL.Muestra EliStartPage v14.00

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WEB FOLDERS\IBM00001.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\IBM00002.DLL.Muestra EliStartPage v14.00

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WEB FOLDERS\IBM00002.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "SpyClean"="c:\windows\system32\spywinclean.exe"

Entrada Eliminada [HKCU\...\Run] "userinit"="C:\WINDOWS\system32\ntos.exe"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat May 19 11:04:11 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sat May 19 11:14:45 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.05.15 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado PWS-NTOS

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll

Sat May 19 11:18:52 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\NTOS.EXE.Muestra EliStartPage v14.00

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Eliminado

Eliminada Carpeta "%WinSys%\Wsnpoem"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat May 19 11:19:25 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Ahora mandare las muestras.

Paso el hjt

Logfile of HijackThis v1.99.1

Scan saved at 11:30:05, on 19/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Nokia\Nokia Software Launcher\NSLauncher.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Archivos de programa\eMule\emule.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\Notepad.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\Windows Live Toolbar\msn_sl.exe

C:\Documents and Settings\Andres\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NSLauncher] C:\Archivos de programa\Nokia\Nokia Software Launcher\NSLauncher.exe /startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open in new background tab - res://C:\Archivos de programa\Windows Live Toolbar\Components\en-ww\msntabres.dll.mui/229?107bba6d76e040aeb44bf463287cee77

O8 - Extra context menu item: Open in new foreground tab - res://C:\Archivos de programa\Windows Live Toolbar\Components\en-ww\msntabres.dll.mui/230?107bba6d76e040aeb44bf463287cee77

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

Como lo veis?

Gracias.

Mensaje por **msc hotline sat** » 19 May 2007, 12:32

Pues que te faltan muchos parches ! Lanza un windowsupdate !!!

y ya ves que se te piden muestras

Por favor, envienos una muestra del fichero

C:\Muestras\IBM00001.DLL.Muestra EliStartPage v14.00

Por favor, envienos una muestra del fichero

C:\Muestras\IBM00002.DLL.Muestra EliStartPage v14.00

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

ahora miro el log del HJT

Se aprecia una entrada O10 maliciosa:

http://www.castlecops.com/lsp-231.html

precisa el LPSFIX:

[url=http://www.zonavirus.com/descargas/lsp-fix.asp]~~[b]~~Descargar LSP-FIX[/b][/url]

· [url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp]~~[b]~~Manual LSP-FIx[/b][/url] (Español)

saludos

m, 19-05-2007