Troyano Allaple-D, dejo log de HJack (SOLUCIONADO)

[msinform]

Muy buenas ante todo felicitaros por este gran foro que me ha servido de mucha utilidad. Este es mi primer post y por le bien de mi ordenador espero no tener que postear mas .



Ueno sin mas rodeos os comento mi caso.



Tengo el avast instalado, el cual me detecta cada vez ke vaya abrir la papelera de reciclaje, mi pc, mis documentos, etc.. me salta una venta con el mensaje de que estoy infectado por el virus ALLAPLE-D y me señala a unas .dlls (no siempre son las mismas) las cuales varian su nombre y de sitio. No hay manera de quitarlo! he estado mirando por internet pero nada. He probado las utilidades que disponeis en el foro, pero no me resuelve mi problema. He probado a Reparar la instalacion de windows desde el CD pero aun sigue el mismo problema. No quisiera llegar formatear e instalar.



Aquí os dejo mi log y muchas gracias por adelantado!



Logfile of HijackThis v1.99.1

Scan saved at 18:35:35, on 27/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\r_server.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\OpenOffice.org 2.0\program\soffice.exe

C:\Archivos de programa\OpenOffice.org 2.0\program\soffice.BIN

I:\MOTABA\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {6b34614e-6974-429c-ab3f-cef40b9d32f3} - C:\WINDOWS\system32\iyuj.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [RaidTool] C:\Archivos de programa\VIA\RAID\raid_to

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Archivos de programa\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: LNWIoYONLhf - {10913B00-BA3B-91AA-4B98-660051DEA052} - C:\WINDOWS\system32\sdyyjy.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)

[msc hotline sat]

eNVIARNOS ESTOS FICHEROS PARA ANALIZAR:



C:\WINDOWS\system32\iyuj.dll



C:\WINDOWS\system32\sdyyjy.dll



recuerde https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y la papelera, vaciela, y si entrando en C:\RECYCLED encontraran ficheros (no clases) eliminelos tambien



saludos



ms, 28-11-2006

[msinform]

Ya os he mandado las muestras que me habeis solicitados. Gracias por la respuesta. Espero que se solucione.

[msc hotline sat]

Pues mañana cuando entremos en SATINFO las analizaremos e informaremos



saludos



ms, 28-11-2006

291106MR

[msinform]

Pues a la espera de buenas noticias, os mando un cordial saludo. ;)

[msc hotline sat]

Analizadas las dos DLL recibidas pasan a ser controladas con la nueva verison que hacemos hoy del ELISTARA 12.82



A partir de las 20 h estará disponible en esta web para evaluacion



saludos



ms, 29-11-2006

[msinform]

Muchas gracias, espero ke con la nueva version se solucione el problema, aunque me urge un poco de prisa esperare impaciente a las 8, si sale antes mejor que mejor :).



Un Saludo. Sois los mejores.

[msc hotline sat]

Si quieres renombralas a .VIR y reinicla, y se habrá acabado la urgencia :lol:



Al no encontrarlas mo las podrá usar y luego el ELISTARA y rematará u eliminarña los ficheros al detectarlos por cadena de deteccion.



saludos



ms, 29-11-2006



nota: para su conocimiento podian instalar un servidor proxy en su ordenador, a traves del cual remotamente poder enviar mails (spam por ejemplo) a traves de su ordenador

[msinform]

Muchas gracias por esta ayuda temporal! Solo comentarte que tb me salio en el avast otra .dll mas:



C:\windows\system32\izkfsmuw.dll



la cual la renombre con la extension .vir y desde ahi no me ha vuelto aparecer mas mensajes del avast,Os la mando en un correo.

Pero de todas formas necesitare el Elistara nuevo pa que borre todo el rastro del Troyano. Pq segun me dijiste puede que me esten utilizando como proxy ajeno y puede que me sature la red.



Un cordial saludo y gracias por la solución temporal!

[msc hotline sat]

Posiblemente sea mas de lo mismo, nombres aleatorios para desconocidas DLL



a ver si con la nueva version se controla todo



procuraré subirla antes de salir de la empresa, a las 19, pero sino, desde casa a partir de las 20



saludos



ms, 29-11-2006

[msc hotline sat]

Subida en plan de emergencia ñla mieba version del ELISTARA 12.82 a esta web



lo sabes tu antes que el foro !



voy a comunicarlo como siempre y me voy !



pruebala y nos comentas el resultado, gracias



saludos



ms, 29-11-2006

[msinform]

Gracias por la ayuda pero al parecer hay muchas mas dlls infectadas en la carpeta de system32 por mucho ke les de a eliminar con el avast, no se borran lo que hice es ponerlas en el baul (cuarentena), pero las que me salian al abrir la papelera, Mipc, u otras carepetas ya no me salen. Espero que no me vuelva a dar mas la lata o me perjudiquen en el futuro.



Un Saludo.

Ueno aki os dejo el resultado del Elistara al arrancarlo en modo a prueba de fallos con red:





Thu Nov 30 12:17:56 2006

EliStartPage v12.82 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\IYUJ.DLL --> Eliminado Malware(BHO)

Eliminada Class, "{6B34614E-6974-429C-AB3F-CEF40B9D32F3}" -> C:\WINDOWS\system32\iyuj.dll

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Nov 30 12:19:08 2006

EliStartPage v12.82 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\ADRIANA\Configuración local\Temp\1.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\10.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\11.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\12.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\15.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\16.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\17.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\2.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\3.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\4.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\5.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\6.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\7.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\8.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\9.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\A.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\B.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\C.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\D.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\E.TMP --> Eliminado, Malware(BHO)

C:\Documents and Settings\ADRIANA\Configuración local\Temp\F.TMP --> Eliminado, Malware(BHO)

C:\WINDOWS\system32\IYUJ.VIR --> Eliminado, Malware(BHO)

C:\WINDOWS\system32\SDYYJY.VIR --> Eliminado, Proxy-Agent.DF

[msc hotline sat]

Las que conocemos las hemos eliminado, y si el AVAST aun detecta alguna, envienosla como ya sabe. en un nuevo Tema, pero no antes de parchear adecuadamente el ordenador con un WindowsUpdate !!!



Las DLL que incordiaban ya han sido eliminadas !



y otras que dice le detecta el AVAST, ni siquiera salen en el log del HJT, por lo que no deben estar activas, sino solo ser restos antiguos...No me consta que se recibiera la que indicabamos enviara, Si no lo hizo hagalo con lkas denmas que dice que detecta y lo comenta en un nuevo Tema.



y dando el Tema por solucionado, procedemos a cerrarlo



saludos



ms, 30-11-2006