problema con procesos extraños y troyano (SOLUCIONADO)

[tetaman]

bueno mi problema es el siguiente el nod 32 me informa de uma de un ficada de spy.goldun.hp

constantemente me aparece un cartel de mebuscas.com

y en el administrador de tareas me apareen procesos como EXLORERR. EXE, RUNDDLL32.exe y creo que algun otro proceso extraño que tal vez este por hay.

uso en mi computadora el nod32, el spybot, el ad-aware se personal pero el problema persiste.



aca pego mi log del hijackthis



Logfile of HijackThis v1.99.1

Scan saved at 14:15:36, on 29/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\RpcScvb.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\windows\system32\EXPLORERR.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\windows\system32\RUNDDLL32.exe

C:\MSNT.COM

C:\windows\system32\IEXPLORER.exe

C:\Documents and Settings\Mis Hermanos\Escritorio\dibujos incas\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mbuscas.com/buscador.php?id=1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe

O4 - HKLM\..\Run: [Rundll32] c:\windows\system32\RUNDDLL32.exe

O4 - HKLM\..\RunOnce: [SpybotDeletingA707] command /c del "C:\WINDOWS\system32\IEXPLORER.exe_tobedeleted_old"

O4 - HKLM\..\RunOnce: [SpybotDeletingC9779] cmd /c del "C:\WINDOWS\system32\IEXPLORER.exe_tobedeleted_old"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\RunOnce: [SpybotDeletingB4256] command /c del "C:\WINDOWS\system32\IEXPLORER.exe_tobedeleted_old"

O4 - HKCU\..\RunOnce: [SpybotDeletingD7296] cmd /c del "C:\WINDOWS\system32\IEXPLORER.exe_tobedeleted_old"

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: Selección Rápida WinZip.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{74FD1B54-C344-4DE5-8EFD-261301F4C3B6}: NameServer = 200.45.191.35 200.45.191.40

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Remote Procedure Call System(RPCScvb) (RpcScfgb) - Unknown owner - C:\WINDOWS\system32\RpcScvb.exe



espero que me ayuden con mi problema y les agradezco de antemano un salu2

[Nuker]

Envianos estos ficheros para su analisis:
C:\windows\system32\EXPLORERR.exe
C:\windows\system32\RUNDDLL32.exe
C:\MSNT.COM

COMO ENVIAR ?:
viewtopic.php?f=2&t=45334

Estos procesos son extraños (Espera respuesta profesional) :

O4 - HKLM\..\RunOnce: [SpybotDeletingA707] command /c del "C:\WINDOWS\system32\IEXPLORER.exe_tobedeleted_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9779] cmd /c del "C:\WINDOWS\system32\IEXPLORER.exe_tobedeleted_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4256] command /c del "C:\WINDOWS\system32\IEXPLORER.exe_tobedeleted_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7296] cmd /c del "C:\WINDOWS\system32\IEXPLORER.exe_tobedeleted_old"

Y pasa ELITRIIP en modo seguro, te generara un log en Unidad C, con nombre de infoSat.txt, abrelo copia contenido y pegalo aqui.

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

MODO SEGURO:
http://www.zonavirus.com/articulos/como ... fallos.asp

[tetaman]

aca esta el log que me genero ELITRIIP





Mon Jan 29 16:40:36 2007

EliTriIP v3.11 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Mon Jan 29 16:42:47 2007

EliTriIP v3.11 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\RECYCLER\S-1-5-21-1343024091-484061587-1801674531-1005\Dc4.exe --> Eliminado, KillAV.FX



Mon Jan 29 17:03:19 2007

EliTriIP v3.11 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



lo pase dos veces en prueba de fallos



luego al archivo C:\MSNT.COM no lo encontre talcual lo que encontre tenia este nombre MSNT.COM-361DBEEA.pf * que se encontraba en C:\WINDOWS\prefetch eso es todo por el momento

[Nuker]

Envia es. Y lanza un Windows Update que te faltan parches.



W.U.



https://support.microsoft.com/es-es/help/12373/windows-update-faq



Eperemos resultados de analisis.

[msc hotline sat]

EL MSNT.COM no lo has enviado, el pf es un prefetch que solo sirve para lanzarlo, No podemos analizarlo.

Y los otros dos ya los controlamos con el actual ELISTARA. Pruebalo:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y por cierto, tienes un Tema paralelo que procedemos a cerrar. Recuerda que está prohibido postear en paralelo !!!:

Pendientes del resultado, mira de enviarnos el indicado MSNT.COM

saludos

ms, 30-01-2007

[tetaman]

ok ante todo pido disculpas no fue mi intencion postear en paralelo.



bue... les comento que realize las actualizaciones de windows update. el archivo msnt.com no lo encuentro por ningun lado, no esta oculto ni nada por el estilo, se esfumo.



corri el ELISTARA en modo a prueba de fallos y me genero el siguiente log





Tue Jan 30 14:59:13 2007

EliStartPage v13.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\RUNDDLL32.EXE --> Eliminado Desktoper

C:\WINDOWS\SYSTEM32\EXPLORERR.EXE --> Eliminado Desktoper

Entrada Eliminada [HKLM\...\Run] "Rundll32"="c:\windows\system32\RUNDDLL32.exe"

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jan 30 15:00:36 2007

EliStartPage v13.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\WINDOWS\ADIRAS.EXE --> Eliminado, Dialer-RAS.DE

C:\zalazar\documentos de mis hermanos\programas cd\UNLOCKER1.8.5(2).EXE --> AutoExtraible

C:\zalazar\documentos de mis hermanos\programas cd\UNLOCKER1.8.5.EXE --> AutoExtraible

C:\zalazar\documentos de mis hermanos\programas cd\ayudasms\EZUPDATE.EXE --> Eliminado, EasyUpdate



luego de esto pase el HijackThis que me genero el siguiente log



Logfile of HijackThis v1.99.1

Scan saved at 15:14:59, on 30/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\RpcScvb.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Mis Hermanos\Escritorio\dibujos incas\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mbuscas.com/buscador.php?id=1

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: Selección Rápida WinZip.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170101684328

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Remote Procedure Call System(RPCScvb) (RpcScfgb) - Unknown owner - C:\WINDOWS\system32\RpcScvb.exe



los problemas han desaparecido aparentemente si vuelven ya se donde encontrarlos, muchas gracias

[lucl]

Hola tet... mira no estoy muy segura de que debas dar por cerrado el tema,



O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe



svhost?? espera confirmacion de msc, pero creo que eso es una entrada maliciosa y me parece que hay algo mas pero como no estoy muy segura espera confirmacion repito pues yo me estoy estrenando con el hijackthis y como que es un tema serio prefiero esperar que te responda alguien que sabe mas que yo.



mira a ver si puedes enviarles ese archivo para que lo analicen

saludos.

[msc hotline sat]

El log de este Tema no lo había revisado...



Efectivamente, muy bien Lucl, este SVHOST32.EXE es un malware y esta clave debe eliminarse, igualmente que estas otras:





R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mbuscas.com/buscador.php?id=1



O23 - Service: Remote Procedure Call System(RPCScvb) (RpcScfgb) - Unknown owner - C:\WINDOWS\system32\RpcScvb.exe



pues : http://www.sophos.co.uk/security/analyses/trojdropperna.html



y envianos muestra de este ultimo para implementar su control y eliminacion en neustras utilidades:



C:\WINDOWS\system32\RpcScvb.exe





recordar: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



saludos



ms, 30.01.2007

[tetaman]

ya mande el archivo y elimine la entrada en modo seguro con el hijackthis, ademas borre el archivo manualmente este es el log que me tira el Ht



Logfile of HijackThis v1.99.1

Scan saved at 13:37:11, on 31/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Mis Hermanos\Escritorio\quique\HijackThis\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: Selección Rápida WinZip.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170101684328

O17 - HKLM\System\CCS\Services\Tcpip\..\{74FD1B54-C344-4DE5-8EFD-261301F4C3B6}: NameServer = 200.45.191.35 200.45.191.40

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Remote Procedure Call System(RPCScvb) (RpcScfgb) - Unknown owner - C:\WINDOWS\system32\RpcScvb.exe (file missing)



espero que me sigan ayudando y no se aburran jaaaaaaa

nos vemos y un saludo!!!!!!!!!!

[lucl]

Hola tet... todavia te falta quitar esto que te habia indicado msc, lo hiciste antes y se resiste? o se te paso?



O23 - Service: Remote Procedure Call System(RPCScvb) (RpcScfgb) - Unknown owner - C:\WINDOWS\system32\RpcScvb.exe



procede pues a intentarlo de nuevo a ver que pasa, saludos.

[msc hotline sat]

Ya no da tiempo para incluir su eliminacion en las utiliodades de hoy, se hará en las de mañana.
De momento ofrezco informacion sobre caracteristicas del malware:

Troj/Dropper-NA
Trojan
Summary
Summary Description Recovery Advanced Prevalence: low high
Name Troj/Dropper-NA
Type Trojan

Affected operating systems Windows

Side effects Drops more malware

Aliases Trojan-PSW.Win32.QQPass.tt

Protection Download virus identity (IDE) file

Protection available since 28 January 2007 00:47:30 (GMT)
Detected by All versions of Sophos Anti-Virus
Included in our products from March 2007 (4.15)
More information on IDE files What are IDE files?
How to use IDE files
Get the latest IDE files


Description
Summary Description Recovery Advanced This section helps you to understand how it behaves
Troj/Dropper-NA is a Trojan for the Windows platform.

Troj/Dropper-NA includes functionality to access the internet and communicate with a remote server via HTTP.

Recovery
Summary Description Recovery Advanced This section tells you how to remove the threat.
Please follow the instructions for removing Trojans.

Advanced
Summary Description Recovery Advanced This section contains the description and advanced technical information
Troj/Dropper-NA is a Trojan for the Windows platform.

Troj/Dropper-NA includes functionality to access the internet and communicate with a remote server via HTTP.

When first run Troj/Dropper-NA copies itself to <System>\RpcScvb.exe and creates the following files:

<Temp>\delmeexe.bat
<System>\RpccvS.dll

The file RpccvS.dll is detected as Troj/QQRob-ABW

Mañana lo incluiremos en el ELISTARA, tras analizar las cadenas y acciones del troyano.

saludos

ms, 31-01-2007

[tetaman]

hola lucl no e podido con la entrada, se resiste.

ok msc espero tu ayuda este es el log del dia de mi computadora





Logfile of HijackThis v1.99.1

Scan saved at 14:45:31, on 01/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Mis Hermanos\Escritorio\quique\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: DSLMON.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170101684328

O17 - HKLM\System\CCS\Services\Tcpip\..\{74FD1B54-C344-4DE5-8EFD-261301F4C3B6}: NameServer = 200.45.191.35 200.45.191.40

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Remote Procedure Call System(RPCScvb) (RpcScfgb) - Unknown owner - C:\WINDOWS\system32\RpcScvb.exe (file missing)

[msc hotline sat]

Te has mirado el Tema de la nueva utilidad ELISTARA 13.24 ???


ELISTARA

---v13.24-( 1 de Febrero del 2007) (Muestras de Vundo(notify), PWS-QQPass "RPCSCVB.EXE", DownLoader.BAFE(notify) "************.DLL", PWS-MMThief "SVCH0ST.EXE y JBLOADER.DLL", PWS-LegMir "BDSCHECA001.DLL" y DownLoader.Tiny.FK "V6.EXE")

Venga, pruebala e informa !

saludos

ms, 1-02-2007

[tetaman]

probado y arreglado en un rato cuelgo el log del HijackThis

un saludo a todos

[msc hotline sat]

Ya solucionado, no te molestes...

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 4-02-2007